Sicherheit - BlackBerry

Werbung
Sicherheitsleitfaden
BES12
Version 12.4
Veröffentlicht: 2016-04-08
SWD-20160408093459611
Inhalt
BES12 Sicherheit............................................................................................................. 6
Neuheiten ........................................................................................................................................................................6
Sicherheitsfunktionen von Geräten ...................................................................................8
Für alle Geräte geltende Sicherheitsfunktionen..................................................................................................................8
Sicherheitsmerkmale für BlackBerry 10 Geräte................................................................................................................. 9
Sicherheitsmerkmale für das PRIV von BlackBerry ..........................................................................................................10
Sicherheitsmerkmale für alle iOS-, OS X-, Android- und Windows-Geräte......................................................................... 11
Unterstützte systemeigene iOS- und Android -Funktionen........................................................................................ 12
Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden........................................................................... 13
Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace ................................................................................... 14
Trusted Boot-Bestätigung........................................................................................................................................ 15
Unterstützung für TIMA........................................................................................................................................... 15
Sicherheitsfunktionen für Android for Work-Geräte.......................................................................................................... 16
Sicherheitsfunktionen für Geräte mit Secure Work Space ................................................................................................17
Verwenden der Good for BES12-App oder des BES12 Client ........................................................................................... 19
Verwalten der Gerätesicherheit mit BES12 ..................................................................... 21
Aktivieren von Geräten....................................................................................................................................................21
Wie geschäftliche Bereiche geschäftliche Apps und Daten schützen............................................................................... 22
Geschäftlicher Bereich auf BlackBerry 10-Geräten.................................................................................................. 22
Secure Work Space für iOS- und Android-Geräte...................................................................................................... 27
Schutz der Daten durch Verschlüsselung........................................................................................................................ 28
Verschlüsseln von Daten auf BlackBerry 10-Geräten................................................................................................ 29
Verschlüsseln von Daten in Secure Work Space ....................................................................................................... 34
Verwalten von Apps auf Geräten......................................................................................................................................35
Kontrolle von persönlichen Apps auf Geräten........................................................................................................... 36
Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten....................................................................................... 36
Good Dynamics-Produktivitätsanwendungen........................................................................................................... 41
Gesicherte Apps auf Geräten mit Secure Work Space .............................................................................................. 41
Kennwörter.....................................................................................................................................................................45
Ändern von Kennwörtern......................................................................................................................................... 45
Kennwörter für BlackBerry 10-Geräte...................................................................................................................... 48
Secure Work Space-Kennwörter...............................................................................................................................54
Datenlöschung............................................................................................................................................................... 55
Löschen aller Daten auf BlackBerry 10-Geräten....................................................................................................... 55
Vollständiges Löschen von Gerätedaten auf Geräten mit iOS, OS X, Android oder Windows .......................................58
Vollständiges Löschen geschäftlicher Daten von BlackBerry 10-Geräten.................................................................. 59
Geschäftliche Daten vollständig von iOS-, OS X-, Android- und Windows-Geräten löschen.........................................62
Sicherstellen der Kompatibilität auf Geräten....................................................................................................................64
Sicherstellen der BlackBerry 10-Geräteintegrität......................................................................................................65
Geräte mit Secure Work Space vor dem Entsperren und Hacken schützen................................................................65
Verhindern der Installation spezifischer Apps durch die Benutzer............................................................................. 66
Bestimmen des Standorts von Geräten............................................................................................................................66
Verwenden von IT-Richtlinien für die Geräteverwaltung....................................................................................................67
Einschränken und Zulassen von Gerätefunktionen................................................................................................... 67
Steuern von BlackBerry 10-Gerätefunktionen.......................................................................................................... 68
Verwalten, wie Geräte Smartcards verwenden................................................................................................................. 73
Steuern des BlackBerry Link-Zugriffs auf Geräte..............................................................................................................75
Wie BES12 Ihre Daten während der Übertragung schützt................................................ 76
Schutz von Daten während der Übertragung über die BlackBerry Infrastructure ..............................................................76
Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden............................................77
Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 ........................................................................ 77
Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte..........................................78
Authentifizierung von BES12 bei der BlackBerry Infrastructure ....................................................................................... 78
Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von
Geräteverwaltungsdaten..........................................................................................................................................79
Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten an
Geräte..................................................................................................................................................................... 79
Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen...............................................................................81
Verschlüsselung der BlackBerry Infrastructure-Verbindung...................................................................................... 81
Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät..................... 81
Verbinden von Geräten mit Ihren Ressourcen.................................................................................................................. 82
Schutz von Daten während der Übertragung zwischen BlackBerry 10 Geräten und Ihren Ressourcen ...................... 83
Schutz von Daten während der Übertragung zwischen Secure Work Space Geräten und Ihren Ressourcen............... 89
Schutz von Daten während der Übertragung mit BlackBerry Secure Connect Plus ................................................... 91
Verbinden mit einem VPN........................................................................................................................................ 92
Schützen der Kommunikation mit Geräten mithilfe von Zertifikaten................................................................................. 94
Bereitstellen von Client-Zertifikaten für Geräte......................................................................................................... 94
Verwenden von SCEP für die Anmeldung von Client-Zertifikaten auf Geräten............................................................ 96
Senden von Zertifizierungsstellenzertifikaten an Geräte............................................................................................98
Schutz von E-Mail-Nachrichten....................................................................................................................................... 99
Steuern, welche Geräte Exchange ActiveSync verwenden können............................................................................ 99
Erweitern der E-Mail-Sicherheit..............................................................................................................................100
Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens................................ 105
Verwenden von Kerberos für die einmalige Anmeldung auf Geräten........................................................................105
Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router ........................................................................ 106
Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 ..............................................................106
Installieren von BES12 in einer DMZ...................................................................................................................... 107
BlackBerry OS-Gerätesicherheit................................................................................... 109
Glossar.........................................................................................................................111
Rechtliche Hinweise..................................................................................................... 115
BES12 Sicherheit
BES12 Sicherheit
1
BES12 enthält zahlreiche Funktionen, die Ihnen helfen, Sicherheit, Datenschutz, und Kontinuität für Ihr Unternehmen zu
gewährleisten:
•
Verschlüsselung hilft, Ihre Daten während der Übertragung zu schützen
•
Es gibt ein Software-Entwicklungsmodell, bei dem Sicherheit im Vordergrund steht
•
Eine Architektur, die entwickelt wurde, um eine sichere Verbindung zwischen den E-Mail- und den Inhaltsservern
Ihres Unternehmens sowie den Geräten zu schaffen
•
FIPS-Zertifizierung. Jede BES12-Instanz verschlüsselt alle Daten, die sie direkt speichert, und beschreibt Daten
indirekt mithilfe eines FIPS-zertifizierten kryptografischen Moduls.
Neuheiten
In der folgenden Tabelle werden die aktualisierten Sicherheitsfunktionen für BES12 Version 12.4 aufgeführt, die in diesem
Dokument beschrieben werden:
Funktion
Beschreibung
Unterstützung für OS X-Geräte
BES12 unterstützt jetzt Mac Computer, auf denen OS X (Version 10.8 und höher)
ausgeführt wird.
Unterstützung für Good Dynamics
BES12 ermöglicht iOS- und Android-Geräten nun den Zugriff auf die Good DynamicsProduktivitäts-Apps.
Sichern von geschäftlichen Daten
Benutzer von BlackBerry 10-Geräten können jetzt geschäftliche Apps und Daten auf
Geräten mithilfe von BlackBerry Link sichern und wiederherstellen. Sie können BES12
verwenden, um die Verschlüsselungsschlüssel zu generieren und an Geräte zu senden
und den BlackBerry Link-Zugriff auf geschäftliche Anwendungen und Daten zu steuern.
BlackBerry Secure Connect PlusUnterstützung für iOS-Geräte
Diese Version ermöglicht die Unterstützung von iOS-Geräten mit iOS 9 oder höher und
der Aktivierungsart „MDM-Steuerelemente“. Sie können zulassen, dass alle Apps auf iOSGeräten einen sicheren Tunnel verwenden, oder Sie können festlegen, welche Apps „Per
App VPN“ verwenden.
Unterstützung für OpenTrust PKISoftware
Wenn Ihre Organisation zur Bereitstellung von PKI-Diensten die OpenTrust-Software
verwendet, können Sie die zertifikatsbasierte Authentifizierung auf die Geräte ausweiten,
die mithilfe von BES12 verwaltet werden. Sie können eine Verbindung mit OpenTrust PKI
6
BES12 Sicherheit
Funktion
Beschreibung
oder OpenTrust CMS konfigurieren und Profile verwenden, um das
Zertifizierungsstellenzertifikat sowie Clientzertifikate an Geräte zu senden.
Beschränkungen für Cipher Suites Mit BES12 können Sie zudem einschränken, welche Cipher Suites der SSL-Bibliothek von
auf BlackBerry 10-Geräten
BlackBerry 10-Geräten unterstützt werden. Sie können dies tun, wenn eine Cipher Suite
entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer
Organisation diese Cipher Suite für die Kommunikation nicht benötigen.
Bestimmen des Standorts von
Android-Geräten
Profilen für die Standortbestimmung werden nun auf Android-Geräten unterstützt.
7
Sicherheitsfunktionen von Geräten
Sicherheitsfunktionen von Geräten
2
BES12 verwaltet die Sicherheitsfunktionen von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, OS X,
Android oder Windows.
Jeder Gerätetyp stellt eine Reihe von eigenen Sicherheitsfunktionen zur Verfügung, die Sie mit BES12 verwalten können.
Für alle Geräte geltende Sicherheitsfunktionen
Die folgenden Sicherheitsfunktionen gelten für alle Geräte und Geräteverwaltungsoptionen:
Funktion
Beschreibung
Verwaltungsbefehle
Sämtliche Geräte ermöglichen es Ihnen bzw. den Benutzern, ein Gerät zu sperren,
Gerätekennwörter zu ändern und Informationen von Geräten zu löschen. Einige
Geräteverwaltungsoptionen bieten zusätzliche Unterstützung für Verwaltungsbefehle.
Steuerelement für Kennwort und
Gerät
Alle Geräte ermöglichen das Festlegen von Kennwortanforderungen und das Deaktivieren
von Gerätefunktionen (z. B. der Kamera) mit IT-Richtlinienregeln. Einige
Geräteverwaltungsoptionen bieten verbesserte IT-Richtliniensätze für eine detailliertere
Steuerung.
Steuerung der
Netzwerkverbindung
Alle Geräte unterstützen Wi-Fi-Profile, mit denen Sie festlegen können, wie Geräte eine
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von Wi-Fi herstellen
können.
Einige Optionen zur Geräteverwaltung unterstützen auch VPN und EnterpriseKonnektivität über die BlackBerry Infrastructure.
Kompatibilität
Alle Geräteverwaltungsoptionen ermöglichen die Durchsetzung der Anforderungen des
Unternehmens an Geräte, z. B. die Installation obligatorischer Apps. Einige Geräte
ermöglichen es Ihnen außerdem, entsperrte oder gehackte Geräte oder Geräte, die nicht
über eine bestimmte Betriebssystemversion verfügen, einzuschränken.
App-Verwaltung
Alle Geräte ermöglichen die Installation geschäftlicher Apps auf Geräten. Sie können
angeben, ob Apps auf Geräten erforderlich sind, und Sie können sehen, ob geschäftliche
Apps auf einem Gerät installiert sind.
Einige Geräteverwaltungsoptionen ermöglichen die Trennung geschäftlicher und
persönlicher Apps mithilfe von Containern oder geschäftlichen Profilen.
8
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Zertifikatsbasierte
Authentifizierung
Alle Geräte unterstützen die zertifikatsbasierte Authentifizierung zwischen Geräten und
Netzwerken oder Servern in der Unternehmensumgebung.
Alle Geräte unterstützen das Senden von Zertifizierungsstellenzertifikaten an Geräte. Die
meisten Geräte unterstützen das Senden von Client-Zertifikaten an Geräte. Einige Geräte
ermöglichen die Registrierung von Client-Zertifikaten auf Geräten mittels SCEP.
BES12 kann Profile und Zertifikate automatisch entfernen, wenn ein Gerät gegen eine der
Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting) verstößt.
Damit wird verhindert, dass das Gerät eine Verbindung mit den Ressourcen Ihres
Unternehmens herstellt, wenn die zertifikatsbasierte Authentifizierung verwendet wird.
Steuern, welche Geräte Zugriff auf Wenn Ihr Unternehmen Exchange ActiveSync verwendet, unterstützen alle Geräte
Exchange ActiveSync haben
Microsoft Exchange-Gatekeeping. Sie können Microsoft Exchange konfigurieren, um die
dürfen
Nutzung von Exchange ActiveSync durch Geräte zu unterbinden, die nicht explizit auf
einer zulässigen Liste in Microsoft Exchange aufgeführt sind. Mithilfe von Gatekeeping in
BES12 können Sie steuern, welche Geräte der zulässigen Liste hinzugefügt werden. Wenn
ein Gerät zur zulässigen Liste hinzugefügt wird, kann ein Benutzer auf das geschäftliche
E-Mail-Konto und andere Informationen auf dem Gerät zugreifen.
Sicherheitsmerkmale für BlackBerry 10 Geräte
BlackBerry 10-Geräte wurden entwickelt, um Anwendern und Unternehmen ein hohes Maß an Sicherheit zu bieten. Die
folgende Tabelle bietet eine Übersicht über viele der Sicherheitsfunktionen, die mit durch BES12 verwalteten BlackBerry 10Geräten zur Verfügung stehen.
Funktion
Beschreibung
BlackBerry 10 OS-Schutz
Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und umfasst viele
Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf Geräten schützen.
Sichere Verbindungen zu den
Ressourcen Ihres Unternehmens
BES12- und BlackBerry 10-Geräte verfügen durch BES12 und die BlackBerry
Infrastructure über eine sichere Verbindung mit dem Netzwerk Ihres Unternehmens.
BlackBerry Balance-Technologie
BlackBerry Balance-Technologie ermöglicht Ihnen die Einrichtung eines persönlichen
Bereichs und eines geschäftlichen Bereichs für Nutzer. Im persönlichen Bereich sind Ihre
Befugnisse beschränkt, im geschäftlichen Bereich haben Sie die volle Kontrolle über
Apps und Daten. Alternativ haben Sie die Möglichkeit, nur einen geschäftlichen Bereich
auf dem Gerät zu erstellen, sodass Ihr Unternehmen die volle Kontrolle über Apps und
Daten auf dem Gerät behält.
9
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
IT-Richtliniensatz
BlackBerry 10-Geräte unterstützen einen umfassenden Satz von IT-Richtlinienregeln, die
Ihnen einen hohen Grad an Kontrolle über die Gerätefunktionen geben.
VPN
Sie können geschäftliche VPN-Profile an BlackBerry 10-Geräte senden, damit diese VPNZugang zum Netzwerk Ihres Unternehmens erhalten.
App-Verwaltung
Sie können kontrollieren, welche Apps der Benutzer im geschäftlichen Bereich
installieren darf. Sie können interne Apps im geschäftlichen Bereich installieren und
löschen.
Verwaltungsbefehle für den
geschäftlichen Bereich
BES12 enthält Verwaltungsbefehle, mit denen Sie das Gerät und die Kennwörter des
geschäftlichen Bereichs zurücksetzen können.
BES12 enthält Verwaltungsbefehle, mit denen Sie sämtliche Daten auf dem Gerät oder im
geschäftlichen Bereich vollständig löschen können.
Sicherheitsmerkmale für das PRIV von
BlackBerry
Das PRIV von BlackBerry ist ein professionelles und sicheres Gerät, das die Sicherheitsfunktionen von BlackBerry für Android
OS mitbringt. Die folgende Tabelle bietet eine Zusammenfassung vieler PRIV-Sicherheitsfunktionen, die mit BES12 verwaltet
werden.
Funktion
Beschreibung
Mehrstufige Verteidigung
Sicherheitsmaßnahmen sind in jede Ebene des Geräts integriert: Hardware, Firmware,
Betriebssystem und in den Apps für sichere Kommunikation und Zusammenarbeit. Daraus
ergibt sich ein mehrstufiger Verteidigungsansatz, der ein neues Maß an Sicherheit für Android
bietet. Jeder Bereich des Geräts arbeitet nahtlos mit jedem anderen zusammen, um die
Privatsphäre zu schützen und die Integrität und Vertraulichkeit von Apps und Daten zu
bewahren.
Hardware-Vertrauensstamm
Ein hardwarebasierter Vertrauensstamm wird bei der Herstellung des Prozessors eingerichtet,
indem diesem die kryptografischen Ressourcen hinzugefügt werden, die später für die
Authentifizierung des Geräts und für Secure Boot verwendet werden sollen.
BlackBerry Secure Compound BlackBerry Secure Compound bietet eine vertrauenswürdige Umgebung zur Speicherung
vertraulicher Daten und zum Ausführen von sicherheitsorientierten Apps wie BlackBerry
Integrity Detection.
10
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Secure Boot
Der sichere Startvorgang stellt sicher, dass nur ein von BlackBerry signiertes Betriebssystem,
das nicht manipuliert wurde, auf dem PRIV geladen werden kann. In jeder Phase des sicheren
Startvorgangs wird überprüft, ob die nächste Komponente nicht manipuliert wurde, bevor sie
geladen wird.
Die Downgrade-Prävention verhindert, dass ein Benutzer nach einer Aktualisierung eine alte
Version des Betriebssystems auf dem PRIV installiert. Dies schützt vor Situationen, in denen
ein Benutzer eine Betriebssystemversion ohne die neuesten Sicherheitsupdates installiert
oder ein böswilliger Benutzer eine in einer älteren Version vorhandene Schwachstelle
ausnutzt.
BlackBerry Integrity Detection BlackBerry Integrity Detection überwacht kontinuierlich Ereignisse oder
Konfigurationsänderungen, die darauf hinweisen könnten, dass die Sicherheit des Geräts
beeinträchtigt ist.
BES12 lässt sich in BlackBerry Integrity Detection integrieren, um z. B. eine Warnung zu
generieren, das Gerät unter Quarantäne zu stellen, damit keine Zugriffe auf geschäftliche
Ressourcen mehr erfolgen können oder das Gerät vollständig zu löschen, wenn eine
potenzielle Gefährdung erkannt wird.
Kernel-Härtung
Auf dem PRIV läuft ein Linux-Kernel, der mit Patches und Änderungen der Konfiguration
gehärtet wurde. Damit ist die Wahrscheinlichkeit einer Kompromittierung durch eine
Sicherheitslücke geringer. Außerdem werden Prozesse mit bestimmten erhöhten
Berechtigungen nur innerhalb eines auf Integrität geprüften Dateisystems auf einem von
BlackBerry signierten Image ausgeführt.
Verschlüsselte Benutzerdaten Standardmäßig werden alle Benutzerdaten (persönliche und geschäftliche) mit einer
FIPS 140-2-kompatiblen Kryptografie-Engine verschlüsselt. Verschlüsselungsschlüssel
werden durch BlackBerry Secure Compound geschützt.
BES12-Aktivierungsarten
Das PRIV unterstützt die Aktivierungsarten "Android for Work", "Secure Work Space" und
"MDM-Steuerelemente".
Sicherheitsmerkmale für alle iOS-, OS X-,
Android- und Windows-Geräte
Die Aktivierungsart „MDM-Steuerelemente“ ermöglicht die Verwendung der standardmäßig auf iOS-, OS X-, Android- und
Windows-Geräten verfügbaren Sicherheitsfunktionen. Es wird kein separater, verschlüsselter Container erstellt, die
geschäftlichen Apps und Daten der Benutzer werden nicht von den persönlichen getrennt. MDM-Steuerelemente lassen einige
Bedenken in puncto Benutzer-Datenschutz unbeantwortet und bieten keine erhöhte Sicherheit. MDM-Steuerelemente sind
11
Sicherheitsfunktionen von Geräten
normalerweise nicht empfehlenswert, wenn ein Unternehmen strenge Sicherheitsanforderungen zur Verhinderung von
Datenverlust/-diebstahl hat.
Je nach Gerätetyp stehen zusätzlich zu den Sicherheitsfunktionen für alle Gerätetypen die folgenden Sicherheitsfunktionen zur
Verfügung:
Gerät
Sicherheitsfunktion
iOS
•
VPN-Verbindung über VPN-Profile
•
SCEP-Registrierung von Zertifikaten
•
Durchsetzung von Richtlinientreue auf Geräten mit Jailbreak
•
IT-Richtlinienregeln zur Steuerung verschiedener systemeigener Apps,
Gerätefunktionen und überwachter Geräte sowie zum Konfigurieren von
Einstufungen für zulässigen Inhalt
•
Sichere Verbindung über BlackBerry Secure Connect Plus (erfordert Aktivierungsart
„MDM-Steuerelemente“)
•
VPN-Verbindung über VPN-Profile
•
SCEP-Registrierung von Zertifikaten
•
IT-Richtlinienregeln zur Steuerung von Kennwortanforderungen
•
Durchsetzung von Richtlinientreue auf gerooteten Geräten
•
IT-Richtlinienregel für die Geräteverschlüsselung
•
IT-Richtlinienregeln zur Kontrolle der Konnektivität über Bluetooth oder NFC, der
Gerätefunktionen, der nativen Apps und der firmeneigenen Geräte
•
Windows 10-Geräte unterstützen VPN-Verbindungen über VPN-Profile
OS X
Android
Windows
Unterstützte systemeigene iOS- und Android -Funktionen
Bei den folgenden Funktionen handelt es sich um systemeigene iOS- und Android-Funktionen, die auch von BES12 unterstützt
werden. Weitere Informationen zu diesen Funktionen finden Sie in der iOS- und der Android-Dokumentation, die von Apple und
Google verfügbar ist.
Funktion
Beschreibung
Verschlüsselung des gesamten
Datenträgers
Durch die Verschlüsselung des gesamten Datenträgers wird sichergestellt, dass alle
Daten eines Geräts verschlüsselt gespeichert werden und Benutzer mit einer
Verschlüsselungs-PIN oder einem Verschlüsselungskennwort darauf zugreifen können.
BES12 unterstützt die systemeigene Verschlüsselung des gesamten Datenträgers, die
unter iOS und Android angeboten wird.
12
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Zufällige Anordnung des
Adressraumlayouts
Durch die zufällige Anordnung des Adressraumlayouts ist es für Angreifer schwerer,
Geräte zu attackieren und eigenen Code auszuführen. Durch diese Technik wird der
Ablageort der Systemkomponenten im Speicher zufällig angeordnet, sodass
Schwachstellen für Angreifer nicht leicht erkennbar sind. BES12 unterstützt die
systemeigene zufällige Anordnung des Layouts des Adressraums, die unter iOS und
Android angeboten wird.
Sicherheitsmerkmale für Samsung-Geräte, die
KNOX MDM verwenden
BES12 kann Samsung-Geräte mithilfe von KNOX MDM verwalten. KNOX MDM umfasst die Sicherheitsfunktionen, die Samsung
für die Geräte bereitstellt. Wenn ein Gerät aktiviert wird, erkennt BES12 automatisch, ob das Gerät KNOX MDM unterstützt.
In der folgenden Tabelle werden die neben den standardmäßigen Android-Sicherheitsmerkmalen zusätzlich verfügbaren
Sicherheitsfunktionen für Geräte, die KNOX MDM unterstützen, beschrieben:
Sicherheitsfunktion
Beschreibung
VPN-Verbindung
BES12 umfasst VPN-Profile, die Sie an Geräte mit KNOX MDM senden können, damit
diese eine Verbindung mit einem IPSec- oder SSL-VPN herstellen können. Sie können
eine kennwort- oder zertifikatbasierte Authentifizierung verwenden.
Verbesserter IT-Richtliniensatz
Sie können Samsung KNOX MDM-Geräte über einen verbesserten IT-Richtliniensatz
steuern. Beispielsweise können Sie mithilfe von Regeln das Gerätekennwort,
systemeigene Apps, Gerätefunktionalität, Konnektivität (einschließlich Bluetooth und
NFC) und Browsereinstellungen steuern.
Verbesserte App-Verwaltung
Sie können Apps im Hintergrund installieren und deinstallieren, eingeschränkte Apps
deaktivieren, die vor Durchsetzen der Richtlinie durch BES12 installiert wurden, und die
Installation eingeschränkter Apps unterbinden.
Geräte mit KNOX MDM können ohne einen Container oder mit einem Container wie KNOX Workspace oder Secure Work Space
aktiviert werden.
13
Sicherheitsfunktionen von Geräten
Sicherheitsfunktionen für Samsung-Geräte mit
KNOX Workspace
Samsung KNOX Workspace ist ein verschlüsselter kennwortgeschützter Container auf einem Samsung-Gerät für geschäftliche
Apps und Daten. Er trennt die persönlichen Apps und Daten eines Benutzers von denen des Unternehmens und schützt
letztere mithilfe erweiterter, von Samsung entwickelter Sicherheits- und Verwaltungsfunktionen.
Wenn Sie KNOX Workspace verwenden, können Sie die Sicherheitsfunktionen für KNOX MDM-Geräte und die in der folgenden
Tabelle aufgeführten Sicherheitsfunktionen nutzen:
Sicherheitsfunktion
Beschreibung
Sicherheit der Hardware
Standardmäßig werden für Samsung-Geräte, die KNOX Workspace unterstützen, die
folgenden Sicherheitsfunktionen für Hardware und Betriebssystem verwendet:
•
Secure Boot und Trusted Boot, die die Echtheit von Kernel und Betriebssystem
prüfen
•
TIMA, das den Kernel überprüft und auf Änderungen überwacht
SE für Android
Standardmäßig verwenden Samsung-Geräte SE für Android. SE für Android teilt das
Betriebssystem in Sicherheitsdomänen auf, damit Apps und Prozesse keinen unbefugten
Zugriff auf Daten und Ressourcen erhalten. Apps außerhalb des KNOX Workspace
erhalten beispielsweise keinen Zugriff auf App-Daten im geschäftlichen Bereich.
Containerverschlüsselung
Standardmäßig ist auf Samsung-Geräten der KNOX Workspace mit AES-256
verschlüsselt.
Verbesserter IT-Richtliniensatz
Sie können den KNOX Workspace über einen verbesserten IT-Richtliniensatz steuern.
Beispielsweise können Sie über Regeln folgende Funktionen steuern:
•
Kennwort für geschäftlichen Bereich
•
Ob geschäftliche Apps Zertifikate anhand von CRLs prüfen sollten
•
Trusted Boot-Bestätigung
•
Trennung von geschäftlichen und persönlichen Daten (beispielsweise, ob
geschäftliche Dateien im persönlichen Bereich zulässig sind)
•
Ob geschäftliche und persönliche Daten wie Kontakte, Kalender und
Benachrichtigungen synchronisiert werden können
•
Smartcard-Authentifizierung für Browser und E-Mail
•
Konnektivität, einschließlich Bluetooth und NFC
•
Browsereinstellungen
14
Sicherheitsfunktionen von Geräten
Sicherheitsfunktion
Beschreibung
Verwaltungsbefehle für den
geschäftlichen Bereich
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den
geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich
zurücksetzen und den geschäftlichen Bereich entfernen können.
Zertifikatbasierte Authentifizierung Sie können Zertifikate mithilfe von SCEP an Geräte senden. Die Geräte können diese
mittels SCEP
Zertifikate für VPN-, Exchange ActiveSync- und Wi-Fi-Verbindungen verwenden.
Sichere Verbindung über
BlackBerry Secure Connect Plus
Sie können BES12 und Geräte mit KNOX Workspace zum Herstellen einer sicheren
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry
Secure Connect Plus konfigurieren.
Zertifizierung
KNOX Workspace hat folgende Zertifizierungen:
•
FIPS 140-2 Level 1 für Daten im Ruhezustand und während der Übertragung
•
DISA MOS SRG Compliance
Weitere Informationen finden Sie unter https://www.samsungknox.com/en/products/knoxworkspace/technical.
Trusted Boot-Bestätigung
Trusted Boot ist eine Samsung KNOX-Funktion, die Kernel und Betriebssystem prüft, wenn ein Gerät gestartet wird. Trusted
Boot überprüft die Integrität von Geräten mit einem KNOX Workspace, damit Sie wissen, dass keine unzulässige Firmware
ausgeführt wird. Wenn ein Benutzer nicht genehmigte Firmware installiert, löst Trusted Boot das KNOX-Garantie-Bit aus, auf
den KNOX Workspace kann nicht mehr zugegriffen werden, und Sie können das Gerät nicht mehr mit Samsung KNOX
verwalten. Ist das Gerät verschlüsselt, kann es darüber hinaus nicht mehr verwendet werden.
Standardmäßig ist die Trusted Boot-Überprüfung deaktiviert. Sie können Trusted Boot über die IT-Richtlinienregel "Trusted
Boot-Bestätigung aktivieren" aktivieren. Weitere Informationen über diese Regel finden Sie in der Richtlinien-Referenztabelle
unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Weitere Informationen zu Trusted Boot finden Sie unter https://www.samsungknox.com/en/products/knox-workspace.
Unterstützung für TIMA
TIMA prüft, ob der Geräte-Kernel während der Laufzeit beschädigt wurde. Wenn Sie ein Gerät mit KNOX Workspace aktivieren,
unterstützt BES12 die folgenden Elemente von TIMA:
•
TIMA CCM, das Client-Zertifikate speichert, die von Apps zum Ver- und Entschlüsseln, Signieren und für die
Inhaltsprüfung verwendet werden können. TIMA CCM ähnelt einer Smartcard. BES12 speichert automatisch Wi-FiZertifikate, für die Konnektivität mit der BlackBerry Infrastructure erforderliche Zertifikate, freigegebene Zertifikate,
Benutzerzertifikate und Benutzeranmeldeinformationen im TIMA CCM. Nur zugelassene Apps im KNOX Workspace,
15
Sicherheitsfunktionen von Geräten
denen der Zertifikatalias bekannt ist, können auf Zertifikate im TIMA CCM zugreifen. CA-Zertifikate werden nicht im
TIMA CCM, sondern im Zertifikatspeicher des KNOX Workspace gespeichert. Diese Funktion steht für Geräte zur
Verfügung, die KNOX 2.1 oder höher unterstützen.
•
TIMA-Schlüsselspeicher, in dem die Schlüssel zur Verschlüsselung des KNOX Workspace gespeichert werden und der
für Apps Dienste zum Generieren und Pflegen von Kryptografieschlüsseln bietet.
Sicherheitsfunktionen für Android for WorkGeräte
Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen AndroidGeräte verwaltet werden sollen. Mit ihr wird ein geschäftliches Profil erstellt, das die geschäftlichen Apps und Daten enthält.
Wenn Sie Android for Work verwenden, können Sie die Sicherheitsfunktionen für alle Geräte und die in der folgenden Tabelle
aufgeführten Sicherheitsfunktionen nutzen:
Funktion
Beschreibung
Geräteverschlüsselung
Standardmäßig wird ein mit Android for Work aktiviertes Gerät vollständig verschlüsselt.
Geschäftliches Profil
Wenn Sie ein Gerät mit Android for Work aktivieren, wird ein geschäftliches Profil erstellt,
das geschäftliche Apps von persönlichen Apps trennt. Das geschäftliche Profil verfügt
über ein eigenes Dateisystem, eigene App-Sandboxen und einen eigenen ZertifikatSchlüsselspeicher.
Verwaltungsbefehle für das
geschäftliche Profil
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) das
geschäftliche Profil sperren oder entfernen können.
Zertifikatverwaltung
Sie können Clientzertifikate und CA-Zertifikate unter Verwendung verschiedener Arten
von Profilen an Geräte senden, je nachdem, woher ein Zertifikat stammt.
App-Verwaltung
Sie können erforderliche Apps für den geschäftlichen Bereich festlegen und sicherstellen,
dass die Geräte alle Vorschriften erfüllen. Alle Apps, die Sie bereitstellen, sind
geschäftliche Apps, die in App-Sandboxen im geschäftlichen Profil installiert werden.
Sie können App-Konfigurationen einrichten, um die Merkmale von Apps festzulegen.
Sichere Verbindung über
BlackBerry Secure Connect Plus
Sie können BES12- und Android for Work-Geräte zum Herstellen einer sicheren
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry
Secure Connect Plus konfigurieren.
Hierfür müssen die Geräte mit der Aktivierungsart "Geschäftlich und persönlich –
Benutzer-Datenschutz (Android for Work – Premium)" oder "Nur geschäftlicher Bereich
(Android for Work – Premium)" aktiviert werden.
16
Sicherheitsfunktionen von Geräten
Sicherheitsfunktionen für Geräte mit Secure
Work Space
Secure Work Space ist ein Container, der ein höheres Maß an Kontrolle und Sicherheit für iOS- und Android-Geräte bietet.
Secure Work Space umfasst gesicherte Apps, die geschützt und von persönlichen Apps und Daten getrennt werden. Die
gesicherten Apps umfassen eine integrierte E-Mail-, Kontakte- und Kalender-App, einen sicheren Browser auf
Unternehmensebene und eine App zum sicheren Anzeigen und Bearbeiten von Dokumenten. Mithilfe des geschäftlichen
Browsers können Benutzer das geschäftliche Intranet und das Internet sicher durchsuchen.
In der folgenden Tabelle sind die Secure Work Space-spezifischen Sicherheitsfunktionen aufgeführt:
Funktion
Beschreibung
Schutz von Daten während der
BES12 schützt Daten, die zwischen BES12 und einem Gerät mit Secure Work Space
Übertragung zwischen BES12 und übertragen werden. BES12 und ein Gerät können mithilfe des TLS-Protokolls mit dem
einem Gerät
AES-256-Algorithmus kommunizieren.
Fähigkeit, eine Verbindung zu
geschäftlichen Ressourcen ohne
VPN oder eingehende Ports in der
Firewall aufzubauen
Schutz der Daten im
geschäftlichen Bereich auf einem
Gerät
Ein Gerät mit Secure Work Space sendet Daten an BlackBerry Infrastructure, was
anschließend mit BES12 über den von ausgehendem Datenverkehr initiierten und
bidirektionalen Port 3101 kommuniziert. Die Daten werden vom BES12 über den
gleichen Pfad zurück zum Gerät transportiert.
•
Ein geschäftlicher Bereich enthält gesicherte Apps. Gesicherte Apps sind
geschäftliche Apps, die den geschäftlichen Bereich durch zusätzlichen Schutz
sichern.
•
Standardmäßig schützen gesicherte Apps ihre Daten mithilfe der AES-256Verschlüsselung. Wenn Sie wählen, dass alle Apps auf Daten im geschäftlichen
Bereich zugreifen dürfen, dann erfolgt keine Verschlüsselung der Daten
gesicherter Apps.
•
Gesicherte Apps verschlüsseln Kennwörter mit einem Hash, bevor sie
gespeichert werden.
•
Der geschäftliche Bereich isoliert Daten im geschäftlichen Bereich von anderen
Daten. Eine gesicherte App kann nur mit einer anderen gesicherten App
kommunizieren und mit ihr Daten austauschen, außer Sie lassen zu, dass alle
Apps auf Daten im geschäftlichen Bereich zugreifen dürfen.
•
Der geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer
gesicherten App in eine andere gesicherte App zu kopieren und einzufügen,
jedoch nicht in eine geschäftliche oder persönliche App.
17
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
FIPS-Zertifizierung für die
Verschlüsselung von Daten im
geschäftlichen Bereich
Der geschäftliche Bereich verschlüsselt alle direkt gespeicherten Daten und schreibt
mithilfe eines FIPS-zertifizierten kryptografischen Moduls indirekt in Dateien.
Verbesserter IT-Richtliniensatz
Mit dem Secure Work Space-IT-Richtliniensatz können Sie ein Kennwort für den
geschäftlichen Bereich konfigurieren, vorgeben, was auf Geräten nach einem
bestimmten Zeitraum der Inaktivität passieren soll, und geschäftliche Kontakte steuern.
Verwaltungsbefehle für den
geschäftlichen Bereich
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den
geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich
zurücksetzen und den geschäftlichen Bereich entfernen können.
Schutz des Betriebssystems
•
Der geschäftliche Bereich kann einen Vorgang für eine gesicherte App, die nicht
mehr reagiert, neu starten, ohne dass sich dies auf andere Vorgänge negativ
auswirkt.
•
Der geschäftliche Bereich überprüft Anforderungen, die Apps an Ressourcen
auf dem Gerät stellen.
Schutz von App-Daten mithilfe von Der geschäftliche Bereich verwendet Sandboxing, um Funktionen und Berechtigungen
Sandboxing
von gesicherten Apps, die auf dem Gerät ausgeführt werden, zu trennen und
einzuschränken. Jeder App-Prozess im geschäftlichen Bereich wird in einer eigenen
Sandbox ausgeführt.
Der geschäftliche Bereich überprüft die Anforderungen, die die Vorgänge einer
gesicherten App an Speicher außerhalb der Sandbox stellen.
Verwaltung von Berechtigungen
für den Zugriff auf Funktionen
Der geschäftliche Bereich überprüft jede Anforderung, die eine gesicherte App stellt, um
auf eine Funktion auf dem Gerät zuzugreifen.
Möglichkeit, Ihre eigenen
gesicherten Apps hinzuzufügen
Ihr Unternehmen kann interne Apps in gesicherte Apps, die im geschäftlichen Bereich
installiert und ausgeführt werden können, konvertieren. Zum Konvertieren einer App in
eine gesicherte App müssen Sie die binäre Datei der App mithilfe der BES12Verwaltungskonsole sichern. Anschließend muss der App-Entwickler die App neu
signieren (und bei Bedarf bei einer iOS-App eine Berechtigungsdatei erstellen).
Schließlich können Sie die App im geschäftlichen Bereich auf Geräten installieren.
Möglichkeit, gesicherte Apps von
anderen Anbietern hinzuzufügen
Drittentwickler von Apps können ihre Apps sichern und neu signieren und sie im App
Store oder in Google Play verfügbar machen, sodass Sie sie an Benutzer senden können.
Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps
zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt
werden. Nur der App-Anbieter kann Apps sichern und neu signieren, sodass sie im
geschäftlichen Bereich installiert werden können.
18
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Schutz des Kontomanagers auf
einem Gerät
Einige Geräte nutzen einen Kontomanager, um Anmeldeinformationen für verschiedene
Benutzerkonten zu speichern. Der geschäftliche Bereich schützt die von gesicherten
Apps gespeicherten Anmeldeinformationen, sodass die Anmeldeinformationen für
gesicherte Apps freigegeben sind, jedoch nicht für andere Apps.
Schutz der gesicherten Apps vor
Trojanern und Schadsoftware
Der geschäftliche Bereich fertigt Fingerabdrücke von Apps an, um sicherzustellen, dass
nur bekannte und vertrauenswürdige Apps als gesicherte Apps ausgeführt werden
können. Gesicherte Apps werden überprüft, bevor sie an den geschäftlichen Bereich
eines Geräts gesendet werden und jedes Mal, wenn das Gerät die Apps ausführt.
Erkennen eines entsperrten oder
gehackten Status
Wenn ein Gerät entsperrt oder gehackt wurde, hat der Benutzer Administratorrechte
beim Zugriff auf das Betriebssystem des Geräts. BES12 erkennt, ob ein Gerät entsperrt
oder gehackt wurde. Sie können den Benutzer benachrichtigen oder auffordern, so
genannte Jailbreak-Software oder Rooting-Software von dem Gerät zu entfernen. Wenn
ein Gerät entsperrt oder gehackt wurde, kann der Benutzer den geschäftlichen Bereich
nicht installieren bzw. nicht auf diesen zugreifen, wenn er bereits installiert wurde.
Erlaubte und eingeschränkte EMail-Domänen
Um Datenverlust zu verhindern, unterstützen Geräte mit Secure Work Space erlaubte und
eingeschränkte Domänen für E-Mail-, Kalender- und Terminplanerdaten. Die erlaubten
und eingeschränkten Domänenlisten bestimmen, welche Links der Benutzer von seinen
geschäftlichen E-Mail- und Terminplanerdaten aufrufen kann, und an wen der Benutzer
E-Mail-Nachrichten, Kalendereinladungen und Terminplanerdaten senden kann.
Verwandte Informationen
Secure Work Space für iOS- und Android-Geräte, auf Seite 27
Verwenden der Good for BES12-App oder des
BES12 Client
Die Good for BES12-App auf iOS Geräten und der BES12 Client auf Android- und Windows Phone 8.x-Geräte ermöglicht BES12
die Kommunikation mit den Geräten. Beide Apps verwenden ein FIPS-zertifiziertes kryptografisches Modul, um alle Daten zu
verschlüsseln, die sie direkt speichern und indirekt in Dateien schreiben.
Zum Aktivieren von iOS-, Android- und Windows Phone-Geräten mit BES12 müssen Benutzer zuerst die Good for BES12-App
oder den BES12 Client auf den Geräten installieren. Benutzer können die aktuelle Version der Good for BES12-App aus dem
App Store für iOS-Geräte, den BES12 Clientvon Google Play für Android-Geräte oder vom Windows Marketplace für Geräte mit
Windows Phone herunterladen.
Nachdem Benutzer ihre Geräte aktiviert haben, bietet die Good for BES12-App oder der BES12 Client folgende Möglichkeiten:
•
Überprüfung der Kompatibilität ihrer Geräte mit den Standards Ihres Unternehmens
19
Sicherheitsfunktionen von Geräten
•
Ansicht der Profile, die ihren Benutzerkonten zugewiesen sind
•
Ansicht der IT-Richtlinienregeln, die ihren Benutzerkonten zugewiesen sind
•
Deaktivieren ihrer Geräte
Auf Windows 10- und OS X-Geräten wird die Good for BES12-App oder der BES12 Client nicht verwendet.
20
Verwalten der Gerätesicherheit mit BES12
Verwalten der Gerätesicherheit mit
BES12
3
Abhängig vom Gerätetyp bietet BES12 diverse Verwaltungsfunktionen für Geräte. Die verfügbaren Funktionen hängen auch von
den Geräteverwaltungsoptionen ab, die Sie beim Aktivieren der Geräte einstellen.
Aktivieren von Geräten
Bei der Geräteaktivierung wird ein Gerät mit einem Benutzerkonto in BES12 verknüpft und ein sicherer Kommunikationskanal
zwischen dem Gerät und BES12 über die BlackBerry Infrastructure hergestellt. Nachdem ein Gerät aktiviert wurde, können Sie
das Gerät mit BES12 verwalten.
Zur Sicherung des Aktivierungsprozesses müssen die Benutzer ein Kennwort eingeben, um ein Gerät zu aktivieren. Sie können
festlegen, wie lange ein Aktivierungskennwort gültig bleiben soll, bevor es abläuft. Außerdem können Sie die Standardlänge des
Kennworts für das automatisch generierte Kennwort angeben, das in der Aktivierungs-E-Mail an den Benutzer gesendet wird.
Standardmäßig werden Benutzer in der BlackBerry Infrastructure registriert, wenn Sie einen Benutzer zu BES12 hinzufügen.
Die an die BlackBerry Infrastructure gesendeten Informationen werden auf sichere Weise gesendet und gespeichert. Sie
können die Benutzerregistrierung bei der BlackBerry Infrastructure deaktivieren, wenn Sie keine Benutzerinformationen an
BlackBerry senden möchten.
Der Vorteil der Registrierung ist, dass Benutzer die Serveradresse nicht eingeben müssen, wenn sie die Aktivierung eines Geräts
durchführen; sie müssen nur ihre E-Mail-Adresse und ihr Kennwort eingeben. Der Enterprise Management Agent auf
BlackBerry 10-Geräten, die Good for BES12-App oder der BES12 Client kommuniziert dann mit der BlackBerry Infrastructure,
um die Serveradresse abzurufen. Eine sichere Verbindung mit BES12 wird mit minimalem Eingriff vonseiten des Benutzers
hergestellt.
Aktivierungsarten konfigurieren den Grad der Kontrolle, die Sie über aktivierte Geräte haben. Beispielsweise können Sie die
volle Kontrolle über ein Gerät erhalten, das Sie an einen Benutzer ausgeben, oder sicherstellen, dass Sie keine Kontrolle über
die privaten Daten eines Geräts haben, das einem Benutzer gehört und das er zur Arbeit mitbringt. Welche Aktivierungsarten
Ihr Unternehmen verwenden kann, ist abhängig von den Gerätetypen, die Sie verwalten, und den Lizenzen, die Sie erworben
haben.
Weitere Informationen über die Aktivierung von Geräten und Aktivierungsarten finden Sie in der Dokumentation für
Administratoren. Datenflüsse zur Aktivierung finden Sie im Abschnitt Architektur.
21
Verwalten der Gerätesicherheit mit BES12
Wie geschäftliche Bereiche geschäftliche Apps
und Daten schützen
In Abhängigkeit der von Ihnen gewählten Aktivierungsart kann ein geschäftlicher Bereich auf dem Gerät erstellt werden. Ein
solcher Bereich ist ein getrennter Bereich des Geräts, der die Abtrennung und die Verwaltung verschiedener Arten von Daten,
Apps und Netzwerkverbindungen ermöglicht. Die verschiedenen Bereiche können unterschiedlichen Regeln für
Datenspeicherung, App-Berechtigungen und Netzwerkrouting unterliegen. Geräte mit einem geschäftlichen Bereich und
einem persönlichen Bereich ermöglichen Ihrem Unternehmen eine strengere Kontrollen über geschäftliche Apps und Daten;
zugleich behalten die Benutzer die Kontrolle über persönliche Daten und Apps.
BES12 unterstützt mehrere Optionen für geschäftliche Bereiche:
•
BlackBerry Balance auf BlackBerry 10-Geräten
•
Secure Work Space auf iOS- und Android-Geräten
•
Android for Work auf Android-Geräten
•
Samsung KNOX Workspace auf Samsung-Geräten
Weitere Informationen zum Schutz Ihrer Apps und Daten durch Android for Work finden Sie unter https://www.google.com/work/
android/.
Weitere Informationen zum Schutz Ihrer Apps und Daten durch Samsung KNOX Workspace finden Sie unter https://
www.samsungknox.com/en/products/knox-workspace/technical.
Geschäftlicher Bereich auf BlackBerry 10-Geräten
Alle BlackBerry 10-Geräte, die mit BES12 aktiviert werden, haben einen geschäftlichen Bereich. Wenn Sie BlackBerry 10Geräte aktivieren, haben Sie die Wahl zwischen drei Aktivierungsarten für die Erstellung verschiedener Verwaltungsoptionen für
den geschäftlichen Bereich:
•
Geschäftlich und persönlich – Unternehmen
•
Geschäftlich und persönlich – Reguliert
•
Nur geschäftlicher Bereich
Sichern von BlackBerry Balance-Geräten
Sie können BlackBerry 10-Geräte mithilfe des Aktivierungstyps "Geschäftlich und persönlich – Unternehmen“ aktivieren, um
Benutzern BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen
geschäftlichen Bereich, und Sie können lediglich den geschäftlichen Bereich steuern. Ihr Unternehmen kann die BlackBerry
Balance-Technologie verwenden, sodass Benutzer ihre Geräte sowohl geschäftlich als auch privat nutzen können. Sie könnten
Benutzern beispielsweise gestatten, private Geräte auf BES12 zu aktivieren oder Geräte zu verwenden, die Ihr Unternehmen für
den persönlichen Gebrauch zur Verfügung stellt.
22
Verwalten der Gerätesicherheit mit BES12
BES12-Sicherheitsfunktionen und BlackBerry Balance können überprüfen, wie Geräte die Inhalte und Ressourcen (Daten,
Apps und Netzwerkverbindungen) Ihres Unternehmens schützen, und ermöglichen, dass Geräte die geschäftlichen Daten und
Apps anders als persönliche Daten und Apps behandeln. Diese Funktionen und Optionen haben folgende Vorteile:
•
Ihr Unternehmen kann den Zugriff auf geschäftliche Apps und Daten auf den Geräten überwachen.
•
Die Daten Ihres Unternehmens sind geschützt.
•
Benutzer können über einige Kernanwendungen geschlossen auf persönliche und geschäftliche Daten zugreifen.
•
Sie können Apps, die Ihr Unternehmen als geschäftliche Apps verfügbar machen will, verwalten und überwachen.
•
Sie können die Apps und Daten Ihres Unternehmens von persönlichen Geräten löschen, wenn Benutzer Ihr
Unternehmen verlassen.
•
Sie können Netzwerkverbindungen für geschäftliche und persönliche Apps überwachen.
Sichern von regulierten BlackBerry Balance-Geräten
Sie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktivieren, um
Benutzern regulierte BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und
einen geschäftlichen Bereich, und Sie können beide Bereiche kontrollieren. Ihr Unternehmen kann die BlackBerry BalanceTechnologie verwenden, damit Benutzer Geräte sowohl für den geschäftlichen als auch den persönlichen Bereich nutzen
können und Ihrem Unternehmen trotzdem Kontrolle über Gerätefunktionen geben.
BES12-Sicherheitsfunktionen und das regulierte BlackBerry Balance können steuern, wie Geräte die Inhalte und Ressourcen
(Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen und Geräten erlauben, die Daten und Apps Ihres
Unternehmens anders als persönliche Daten und Apps zu behandeln.
Regulierte BlackBerry Balance-Geräte behandeln geschäftliche und persönliche Daten genauso wie BlackBerry BalanceGeräte. Alles, was Sie zur Verwaltung von BlackBerry Balance-Geräten tun können, einschließlich der Verwendung von ITRichtlinienregeln, ist auch mit regulierten BlackBerry Balance-Geräten möglich. Regulierte BlackBerry Balance-Geräte bieten
Ihnen jedoch zusätzliche Verwaltungsoptionen, einschließlich:
•
Gerätefunktionen deaktivieren, auch wenn sich Benutzer im persönlichen Bereich aufhalten
•
Verhindern, dass Benutzer persönliche Konten auf dem Gerät haben
•
Kommunikationswege für Telefonanrufe, SMS und BBM blockieren
•
Kommunikationswege wie z. B. Wi-Fi ,Bluetooth und NFC blockieren
•
Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden
Benutzer mit regulierten BlackBerry Balance-Geräten sollten sich bewusst sein, dass Ihr Unternehmen persönliche Daten auf
ihren Geräten überprüfen kann. Wenn ein Gerät mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktiviert
wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät von Ihrem Unternehmen
verwaltet wird und der Benutzer den Haftungsausschluss akzeptieren muss, um mit der Aktivierung fortzufahren. Sie können
einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die
Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für regulierte BlackBerry Balance-Geräte, auf denen BlackBerry 10
OS Version 10.3.1 und höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Organisationshinweis
jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll.
23
Verwalten der Gerätesicherheit mit BES12
Sichern von Geräten, die nur über einen geschäftlichen Bereich verfügen
Sie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Nur geschäftlicher Bereich" aktivieren, um Benutzern Geräte,
die nur über einen geschäftlichen Bereich verfügen, zur Verfügung zu stellen. Diese Geräte verfügen nur über einen Bereich,
der als geschäftlicher Bereich gilt und sicher ist. Alle Daten und Apps auf diesen Geräten werden als geschäftliche Ressourcen
klassifiziert. Sie können Geräte, die nur über einen geschäftlichen Bereich verfügen, aktivieren, wenn Benutzer Geräte fast
ausschließlich für geschäftliche Zwecke verwenden werden, oder wenn in Ihrem Unternehmen besonders vertrauliche
Positionen besetzt sind, die die vollständige Verwaltung von Geräten erfordern.
Durch diese Aktivierungsoption haben Sie die vollständige Kontrolle über Geräte und können:
•
Alle Apps und Dienste auf Geräten zulassen
•
Steuerung von Gerätemerkmalen, wie z. B. Kamera oder GPS
•
Blockieren von Kommunikationspfaden, wie Wi-Fi oder Bluetooth
•
Steuern, welche Apps die Benutzer herunterladen können
•
Verhindern des Zugriffs auf persönliche E-Mail-Nachrichtendienste
•
Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden
Der Kennwortschutz auf Geräten, die nur über einen persönlichen Bereich verfügen, ist nicht optional. Um Geschäftsdaten auf
diesen Geräten zu sichern, müssen Benutzer bei der Aktivierung ein Gerätekennwort festlegen.
Benutzer mit Geräten, die nur über einen geschäftlichen Bereich verfügen, sollten sich bewusst sein, dass Ihr Unternehmen alle
Daten auf ihren Geräten überprüfen kann, auch wenn sie ihre Geräte für persönliche Zwecke nutzen. Wenn ein Gerät mithilfe
der Aktivierungsart "Nur geschäftlicher Bereich" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss
angezeigt, der angibt, dass das Gerät vollständig von Ihrem Unternehmen verwaltet wird, und der Benutzer muss den
Haftungsausschluss akzeptieren, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren,
der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens
zu erfüllen. Für Geräte, die nur über einen geschäftlichen Bereich verfügen, auf denen BlackBerry 10 OS Version 10.3.1 und
höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Unternehmenshinweis jedes Mal, wenn ein
Benutzer das Gerät neu startet, anzeigen soll.
Wenn ein Gerät über einen persönlichen oder geschäftlichen Bereich verfügt, bevor Sie es aktivieren, wird dieser während des
Aktivierungsprozesses gelöscht und alle Daten, Apps oder Netzwerkverbindungen, die das Gerät vor der Aktivierung genutzt
hat, werden entfernt. Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Wie Apps und Daten auf BlackBerry Balance-Geräten klassifiziert werden
BlackBerry Balance-Geräte und regulierte BlackBerry Balance-Geräte können zwischen Daten für den geschäftlichen
Gebrauch und Daten für den Privatgebrauch unterscheiden. Die Geräte klassifizieren Daten abhängig von der Datenquelle in
geschäftliche und persönliche Daten, und diese Klassifizierungen bestimmen, wie die Daten auf den Geräten gespeichert,
geschützt und verarbeitet werden. Geschäftliche Daten sind alle Daten, die von Apps im geschäftlichen Bereich verwaltet
werden, und persönliche Daten sind alle Daten, die von Apps im persönlichen Bereich verwaltet werden. Zum Beispiel werden
Daten aus einem geschäftlichen Konto im geschäftlichen Bereich auf dem Gerät gespeichert, und Daten aus einem
persönlichen Konto werden im persönlichen Bereich auf dem Gerät gespeichert. Nachdem Daten von einem Gerät als
24
Verwalten der Gerätesicherheit mit BES12
geschäftliche Daten oder persönliche Daten klassifiziert wurden, können persönliche Daten nicht zu geschäftlichen Daten
umklassifiziert werden und geschäftliche Daten nicht zu persönlichen Daten umklassifiziert werden.
Alle Daten und Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden als geschäftliche Ressourcen
klassifiziert, auch wenn Benutzer die Geräte für persönliche Angelegenheiten nutzen, wie dem Besuch persönlicher Webseiten
oder dem Empfang persönlicher E-Mails.
Die folgende Tabelle beschreibt die einzelnen App-Klassifizierungen für Geräte mit einem persönlichen Bereich und führt
Beispiele für Apps an, die zu der jeweiligen App-Klassifizierung gehören:
Beschreibung
Apps
Apps, die nur im geschäftlichen Bereich verfügbar sind und
nur geschäftliche Daten anzeigen
•
BlackBerry World for Work
•
Beliebige Apps, die Benutzer aus BlackBerry World for
Work herunterladen
Apps, die nur im persönlichen Bereich verfügbar sind und nur •
persönliche Daten anzeigen
BBM, BBM Video, SMS-Textnachrichten und visuelle
Sprachnachrichten (mit Zugriff auf geschäftliche
Kontakte, falls nicht durch die IT-Richtlinienregel
"Persönliche Apps können auf geschäftliche Kontakte
zugreifen" verhindert)
Apps, die sowohl in geschäftlichen als auch in persönlichen
Bereichen verfügbar sind, und die geschäftliche und
persönliche Daten in einer einheitlichen Ansicht anzeigen
Diese Apps klassifizieren die Daten, die sie nutzen, abhängig
von der Datenquelle entweder als geschäftliche oder
persönliche Daten und verwalten jeden Datentyp innerhalb
des Bereichs, zu dem er gehört.
•
BlackBerry World
•
Benutzer-Apps für Instant Messaging
•
Beliebige Apps, die Benutzer aus BlackBerry World
herunterladen (einschließlich BlackBerry Runtime für
Android-Apps)
•
BlackBerry Remember
•
BlackBerry Hub
•
Kalendar
•
Kontakte
Diese Apps verwalten geschäftliche Daten innerhalb der
Beschränkungen des geschäftlichen Dateisystems, der
geschäftlichen Richtlinien, Berechtigungen und Regelungen,
um sicherzustellen, dass die Daten innerhalb des
geschäftlichen Bereichs sicher sind und die Daten nicht für
Benutzer verfügbar sind, wenn der geschäftliche Bereich
gesperrt ist. Diese Apps werden streng kontrolliert und sind
auf Kernanwendungen begrenzt, die ausschließlich von
BlackBerry entwickelt werden.
25
Verwalten der Gerätesicherheit mit BES12
Beschreibung
Apps
Apps, die eine Instanz im geschäftlichen Bereich und eine
separate Instanz im persönlichen Bereich haben
•
Adobe Reader
•
Browser
Diese App-Instanzen laufen sowohl in den geschäftlichen als
auch den persönlichen Bereichen eines Geräts unabhängig
voneinander. Zum Beispiel kann die Documents To Go-App,
die sich im geschäftlichen Bereich befindet, nur Dateien
verwalten, die sich im geschäftlichen Bereich befinden, und
das BlackBerry 10 OS sorgt dafür, dass diese App nicht mit
Dateien, die sich im persönlichen Bereich befinden,
interagiert.
•
Documents To Go
•
Dateiverwaltung
•
Hilfe
•
Bilder
Jede Instanz dieser Apps wird von den anderen getrennt
gehalten, und jede App arbeitet gemäß den Regeln und
Beschränkungen, die für den Bereich gelten, in dem sie
installiert ist. Zum Beispiel zeigt die Dateiverwaltung-App nur
geschäftliche Apps an, wenn ein Benutzer die App im
geschäftlichen Bereich öffnet, und nur persönliche Dateien,
wenn der Benutzer die App im persönlichen Bereich öffnet.
Regeln des Zugriffs auf Inhalte
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte regeln wie folgt, was Benutzer mit geschäftlichen und
persönlichen Inhalten tun können:
•
Die Geräte lassen nicht zu, dass Benutzer Dateien aus dem persönlichen Bereich in den geschäftlichen Bereich
verschieben oder aus dem geschäftlichen Bereich in den persönlichen Bereich verschieben.
•
Die Geräte lassen nicht zu, dass Benutzer Text aus dem geschäftlichen Bereich ausschneiden, kopieren oder in Apps
des persönlichen Bereichs einfügen. Die Geräte lassen zu, dass Benutzer Text aus Apps des persönlichen Bereichs in
Apps des geschäftlichen Bereichs einfügen. Die Geräte speichern Daten, die Benutzer aus Apps des geschäftlichen
Bereichs kopieren, nur im geschäftlichen Bereich, und Daten, die Benutzer aus Apps des persönlichen Bereichs
kopieren, nur im persönlichen Bereich.
•
Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen einheitlich angezeigt werden, können
persönliche Dateien an die geschäftliche Anlage der App anhängen. Zum Beispiel können Benutzer persönliche
Dateien an geschäftliche E-Mail-Nachrichten anhängen. Die Geräte verwenden schreibgeschützte Versionen dieser
Dateien und übertragen oder kopieren diese Dateien nicht aus dem persönlichen Dateisystem in das geschäftliche
Dateisystem.
Standardmäßig können geschäftliche Apps auf freigegebene Dateien im persönlichen Bereich zugreifen, insofern der Benutzer
dies erlaubt. Wenn ein Benutzer eine geschäftliche App installiert, zeigt das Gerät eine Meldung mit den Optionen an, die
Anfrage der App für den Zugriff auf freigegebene Dateien oder Inhalte entweder zuzulassen oder abzulehnen. Wenn Sie
verhindern möchten, dass geschäftliche Apps auf freigegebene persönliche Dateien zugreifen, stellen Sie sicher, dass die ITRichtlinienregel "Zulassen, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte in den persönlichen Bereichen
26
Verwalten der Gerätesicherheit mit BES12
zugreifen" nicht ausgewählt ist. Dadurch wird verhindert, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte im
persönlichen Bereich zugreifen, unabhängig von den Benutzereinstellungen des Geräts. Dadurch wird ebenfalls verhindert,
dass Benutzer persönliche Dateien an Nachrichten anhängen, die sie von einem geschäftlichen Konto senden, und dass
persönliche Dateien oder Inhalte mit geschäftlichen Apps unter Verwendung der Option "Teilen" geteilt werden.
Standardmäßig können alle Apps im persönlichen Bereich auf die erforderlichen Daten für geschäftliche Kontakte zugreifen.
Benutzer können außerdem die Optionen "Kopieren nach" und "Speichern in" für geschäftliche Kontakte in der Kontakte-App
verwenden.
Sie können die Einstellungen der IT-Richtlinienregeln ändern, um Folgendes zu bewirken:
•
Verhindern, dass alle persönlichen Anwendungen jederzeit auf Daten für geschäftliche Kontakte zugreifen können,
indem Sie die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" auf "Keine"
einstellen.
•
Um nur den folgenden von BlackBerry entwickelten persönlichen Apps zu erlauben, auf Daten für Geschäftskontakte
zuzugreifen. Setzen Sie dazu die IT-Richtlinienregel "Persönlichen Apps Zugriff auf Geschäftskontakte gewähren" auf
"Nur BlackBerry-Apps": Telefon, BBM (einschließlich BBM Video und BBM Voice), Textnachrichten, Smart Tags und
visuelle Mailbox.
•
So verhindern Sie, dass Benutzer während eines BBM Video-Chat den Bildschirminhalt mit anderen BBM Video-ChatTeilnehmern teilen. Wenn Sie Benutzern das Teilen des Bildschirminhalts im geschäftlichen Bereich im BBM VideoChat nicht erlauben, sperrt ein Gerät den geschäftlichen Bereich, wenn ein Benutzer den Bildschirm während eines
BBM Video-Chats freigibt. Der Benutzer kann den geschäftlichen Bereich erst dann entsperren, wenn der Vorgang
der Bildschirmfreigabe des BBM Video-Chats vollständig beendet wurde.
Secure Work Space für iOS- und Android-Geräte
Secure Work Space erstellt einen geschäftlichen Bereich auf iOS- und Android-Geräten, wenn ein Gerät in BES12 aktiviert wird.
Der geschäftliche Bereich ist ein getrennter Bereich des Geräts für geschäftliche Ressourcen, wo Benutzer Dokumente
erstellen, bearbeiten und speichern können. Der geschäftliche Bereich speichert auch Konfigurationsangaben vom Server und
damit verbundene Informationen, zum Beispiel Microsoft Active Directory-Anmeldeinformationen und -Profile.
27
Verwalten der Gerätesicherheit mit BES12
Die Sicherheitsfunktionen von BES12 und Secure Work Space steuern, wie Geräte die Daten Ihres Unternehmens, Apps und
Netzwerkverbindungen schützen, und erzwingen, dass Daten und Apps Ihres Unternehmens auf Geräten anders als
persönliche Daten und Apps behandelt werden. Das heißt, Sie können Folgendes durchführen:
•
Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert
sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden.
•
Steuern des Zugriffs auf die Daten und Apps Ihres Unternehmens auf Geräten
•
Verhindern, dass die Sicherheit von Daten beeinträchtigt wird
•
Installieren und Verwalten der Daten und Apps Ihres Unternehmens auf Geräten
•
Bei Bedarf Löschen der Daten Ihres Unternehmens von Geräten
•
Steuern von Netzwerkverbindungen, die von geschäftlichen und persönlichen Apps verwendet werden
•
Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert
sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden.
Verwandte Informationen
Sicherheitsfunktionen für Geräte mit Secure Work Space, auf Seite 17
Erstellen von geschäftlichen Bereichen auf Geräten mit Secure Work Space
Zum Erstellen eines geschäftlichen Bereichs auf einem Gerät mit Secure Work Space aktivieren Sie das Gerät in BES12
entweder über die Aktivierungsart "Geschäftlich und persönlich – volle Kontrolle (Secure Work Space)" oder "Geschäftlich und
persönlich – Privatsphäre des Benutzers (Secure Work Space)". Während des Aktivierungsvorgangs verschlüsselt das Gerät
den geschäftlichen Bereich.
Geräte mit Secure Work Space machen es während des Aktivierungsprozesses erforderlich, dass die Benutzer ein Kennwort für
den geschäftlichen Bereich festlegen. Das Kennwort für den geschäftlichen Bereich dient dem Schutz von Daten des
geschäftlichen Bereichs und gesicherter Apps. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen wie
Komplexität und Länge verwenden.
Nachdem ein Gerät in BES12 aktiviert wurde, sind auf dem Gerät weiterhin ein persönlicher Bereich sowie alle Daten, Apps
oder Netzwerkverbindungen des Benutzers vorhanden, die der Benutzer verwendet hat, bevor das Gerät aktiviert wurde.
Benutzer können ihre Geräte für Zwecke verwenden, welche die Sicherheitsrichtlinien des Unternehmens ansonsten nicht
erlauben, zum Beispiel das Herunterladen von Videos, das Spielen von Multiplayer-Spielen im Internet oder das Hochladen von
privaten Fotos und Facebook-Einträgen, ohne die auf dem Gerät gespeicherten geschäftlichen Daten sichtbar zu machen.
Schutz der Daten durch Verschlüsselung
BES12 hilft beim Schutz von Daten auf Geräten durch Verschlüsselung.
BlackBerry 10-Geräte verschlüsseln die Dateien, die im geschäftlichen Bereich gespeichert sind. Sie können ITRichtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den Geräten, einschließlich aller Daten im persönlichen
Bereich und auf Medienkarten, zu erzwingen.
28
Verwalten der Gerätesicherheit mit BES12
Secure Work Space verschlüsselt alle Daten im geschäftlichen Bereich. Android-Geräte mit Secure Work Space verschlüsseln
auch alle Daten des geschäftlichen Bereichs auf der Medienkarte.
In Abhängigkeit von der Aktivierungsart können Sie IT-Richtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den
Android-Geräten, einschließlich aller Daten im persönlichen Bereich und auf Medienkarten, zu erzwingen.
Weitere Informationen zur Datenverschlüsselung für Android for Work finden Sie unter https://support.google.com/work/
android.
Weitere Informationen zur Datenverschlüsselung für Samsung KNOX Workspace finden Sie unter https://
www.samsungknox.com/en/products/knox-workspace/technical.
Weitere Informationen zur Datenverschlüsselung für iOS finden Sie unter https://www.apple.com/business/docs/
iOS_Security_Guide.pdf.
Verschlüsseln von Daten auf BlackBerry 10-Geräten
BlackBerry 10-Geräte schützen durch Verschlüsselung die folgenden Datentypen. Nur die Inhalte von Dateien werden
verschlüsselt; die Dateien selbst und die Verzeichnisnamen werden nicht verschlüsselt.
Datentyp
Beschreibung
Daten im geschäftlichen
Bereich
Geräte schützen Geschäftsdaten durch die Verschlüsselung der im geschäftlichen Bereich
gespeicherten Dateien. Die Verschlüsselung des geschäftlichen Bereichs ist nicht optional.
Daten im persönlichen Bereich
Geräte mit einem persönlichen Bereich können persönliche Daten durch die
Verschlüsselung der im persönlichen Bereich gespeicherten Dateien schützen.
Die Verschlüsselung des persönlichen Bereichs ist optional. Sie können die ITRichtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen"
verwenden, um die Verschlüsselung für den persönlichen Bereich auf einem Gerät zu
aktivieren.
Benutzer können die Verschlüsselung persönlicher Daten auch mittels der Option
"Geräteverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem
Gerät aktivieren.
Medienkartendaten
Geräte können Medienkartendaten durch die Verschlüsselung der auf Medienkarten
gespeicherten Dateien schützen:
•
Standardmäßig erlauben es Geräte mit einem persönlichen Bereich Benutzern
nur persönliche Daten auf Medienkarten zu speichern, und diese Daten werden in
einem unverschlüsselten Format gespeichert.
•
Standardmäßig erlauben es Geräte, die nur über einen geschäftlichen Bereich
verfügen, Benutzern, Daten auf Medienkarten zu speichern, und diese Daten
werden in einem unverschlüsselten Format gespeichert.
29
Verwalten der Gerätesicherheit mit BES12
Datentyp
Beschreibung
Die Medienkartenverschlüsselung ist optional. Sie können die IT-Richtlinienregel
"Medienkartenverschlüsselung erzwingen" verwenden, um die
Medienkartenverschlüsselung zu aktivieren. Es wird dringend empfohlen, auf Geräten, die
nur über einen geschäftlichen Bereich verfügen, die Medienkartenverschlüsselung mithilfe
der IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" zu aktivieren, da
Benutzer Geschäftsdaten standardmäßig in unverschlüsseltem Format speichern können.
Benutzer können die Medienkartenverschlüsselung auch mittels der Option
"Medienkartenverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf
einem Gerät aktivieren.
Die Medienkarte wird deaktiviert, wenn ein anderes Gerät die Daten auf ihr verschlüsselt
hat. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen
geschäftlichen Bereich verfügen, ist die Medienkartenverschlüsselung nur erlaubt, wenn
die IT-Richtlinienregel "Medienkarte zulassen" ausgewählt ist.
Wie BlackBerry 10-Geräte geschäftliche Daten schützen
Bei der Verschlüsselung des geschäftlichen Bereichs für BlackBerry 10-Geräte werden Daten, die im geschäftlichen
Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Bei Geräten, die nur über einen
geschäftlichen Bereich verfügen, werden alle Daten unter Verwendung von XTS-AES-256 verschlüsselt.
Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die
Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem geschäftlichen Domänenschlüssel und
speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Der geschäftliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems
gespeichert und unter Verwendung des geschäftlichen Hauptschlüssels verschlüsselt wird.
•
Der geschäftliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der geschäftliche Hauptschlüssel wird im NVRAM
auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.
•
Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf
dem Gerät gespeichert.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Die Dateiverschlüsselungsschlüssel, der geschäftliche Domänenschlüssel, der geschäftliche Hauptschlüssel und der
Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS
140-2-Zertifizierung erhalten hat.
30
Verwalten der Gerätesicherheit mit BES12
Wie BlackBerry 10-Geräte persönliche Daten schützen
Bei der Verschlüsselung des persönlichen Bereichs für BlackBerry 10-Geräte werden Dateien, die im persönlichen Dateisystem
gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Ein Gerät erzeugt per Zufallsprinzip einen
Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem
hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem persönlichen Domänenschlüssel und speichert
den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Der persönliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems
gespeichert und unter Verwendung des persönlichen Hauptschlüssels verschlüsselt wird.
•
Der persönliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der persönliche Hauptschlüssel wird im NVRAM auf
dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.
•
Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf
dem Gerät gespeichert.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" ausgewählt wird, wählen Sie
auch die IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern", sodass das Kennwort für den geschäftlichen Bereich
für das gesamte Gerät gilt. Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" nicht
ausgewählt wird und der Benutzer die Verschlüsselung für den persönlichen Bereich aktivieren möchte, wird der Benutzer
aufgefordert, ein neues Kennwort einzugeben, insofern das Gerät nicht bereits ein Kennwort hat.
Die Geräte können ebenfalls alle Dateien verschlüsseln, die auf in den Geräten steckenden Medienkarten gespeichert sind.
Benutzer können ausschließlich persönliche Daten auf den Medienkarten speichern.
Die Dateiverschlüsselungsschlüssel, der persönliche Domänenschlüssel, der persönliche Hauptschlüssel und der
Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS
140-2-Zertifizierung erhalten hat.
Wie Daten auf Medienkarten von BlackBerry 10-Geräten geschützt werden
Die Medienkartenverschlüsselung verschlüsselt auf Medienkarten in BlackBerry 10-Geräten gespeicherte Dateien. Ein Gerät
erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte von Dateien auf der Medienkarte zu verschlüsseln.
Der Schlüssel für die Verschlüsselung wird wie folgt geschützt:
•
Das Gerät verknüpft die persönliche Domäne mit einem nach dem Zufallsprinzip generierten Schlüssel und erzeugt
einen Hashwert zum Erstellen eines Schlüssels für die Medienkarte. Wenn das Gerät nur über einen geschäftlichen
Bereich verfügt oder wenn die Verschlüsselung für den persönlichen Bereich nicht eingeschaltet wurde, generiert das
Gerät zunächst einen Domänenschlüssel für den persönlichen Bereich.
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem Schlüssel der Medienkarte und speichert den
Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
31
Verwalten der Gerätesicherheit mit BES12
•
Ein Hashwert des Medienkartenschlüssels wird auf dem Gerät im Replay-geschützten Speicherblock gespeichert,
damit der Medienkartenschlüssel überprüft werden kann.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Auf BlackBerry Balance-Geräten können nur persönliche Daten auf Medienkarten gespeichert werden. Die
Medienkartenverschlüsselung ist optional. Sie können die Medienkartenverschlüsselung in der IT-Richtlinie erzwingen. Auf
Geräten, die nur über einen geschäftlichen Bereich verfügen, wird die Einrichtung der Medienkartenverschlüsselung dringend
empfohlen, da Benutzer geschäftliche Daten auf Medienkarten speichern können. Auf regulierten BlackBerry Balance-Geräten
und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie den Einsatz von Medienkarten auch in der ITRichtlinie verbieten. Benutzer können die Medienkartenverschlüsselung auch in den Geräteeinstellungen einschalten.
Der Verschlüsselungsschlüssel der Medienkartenverschlüsselung wird vom kryptografischen Kernel des BlackBerryOS
generiert, welcher in BlackBerry 10 OS nach FIPS 140-2 zertifiziert ist.
Erweiterter Schutz von Daten im Ruhezustand auf BlackBerry 10-Geräten
Erweiterter Schutz von Daten im Ruhezustand ist ein Verschlüsselungsmodell für Daten im Ruhezustand, das Sie verwenden
können, um Daten im geschäftlichen Bereich auf gesperrten regulierten BlackBerry Balance-Geräten und Geräten, auf denen
BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird und die nur über einen geschäftlichen Bereich verfügen, zu
schützen. Es hilft bei der Sicherung vertraulicher Daten durch die Beschränkung des Zugriffs auf bestimmte Dateien im
geschäftlichen Bereich des Geräts, wenn der geschäftliche Bereich gesperrt ist. Wenn der geschäftliche Bereich gesperrt ist,
können nur Apps, die speziell dafür entwickelt wurden, erweiterten Schutz von Daten im Ruhezustand zu unterstützen, weiter
im geschäftlichen Bereich ausgeführt werden, und sie sind darauf beschränkt, nur auf bestimmte Teile des Dateisystems des
geschäftlichen Bereichs zuzugreifen.
Zusätzlich zur Einschränkung des Zugriffs auf vertrauliche Daten bei gesperrtem geschäftlichen Bereich verschlüsselt der
erweiterte Schutz von Daten im Ruhezustand auch Daten, die das Gerät empfängt, wenn der geschäftliche Bereich gesperrt ist.
Sowohl die Daten, die im geschäftlichen Bereich auf Geräten gespeichert sind, als auch Geschäftsdaten, die gesperrte Geräte
empfangen, werden verschlüsselt. Die Domänenschlüssel für die Verschlüsselung von Dateien des geschäftlichen Bereichs
werden ebenfalls verschlüsselt. Die Dateien werden mithilfe von Schlüsseln verschlüsselt, die an Informationen gebunden sind,
die nicht auf dem Gerät gespeichert sind, wie z. B. das Kennwort für den geschäftlichen Bereich oder die Smartcard eines
Benutzers.
Erweiterter Schutz von Daten im Ruhezustand stellt verschiedene Domänen für die Speicherung der folgenden
Datenklassifizierungen bereit:
Domänenname
Beschreibung
Gesperrt
Diese Domäne speichert vertrauliche Daten. Die Daten in dieser Domäne sind verschlüsselt
und können nur aufgerufen werden, während der geschäftliche Bereich nicht gesperrt ist.
Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den
geschäftlichen Bereich entsperrt hat.
Betriebsbereit
Diese Domäne speichert vertrauliche Daten, die verfügbar sein müssen, wenn der
geschäftliche Bereich gesperrt oder nicht gesperrt ist. Wenn das Gerät zum ersten Mal
32
Verwalten der Gerätesicherheit mit BES12
Domänenname
Beschreibung
gestartet wurde oder neu gestartet wurde, sind die Daten nicht verfügbar, bis der Benutzer
den geschäftlichen Bereich entsperrt. Die Daten sind dann verfügbar, bis das Gerät
ausgeschaltet oder neu gestartet wird. Der Domänenschlüssel kann nur entschlüsselt
werden, nachdem der Benutzer den geschäftlichen Bereich zum ersten Mal nach dem Start
des Geräts entsperrt hat.
Start
Diese Domäne speichert Daten, die verschlüsselt werden müssen, aber während des Starts
verfügbar sein müssen, ohne dass der Benutzer den geschäftlichen Bereich zuerst
entsperren muss. Alle Daten, die für den Gerätestart erforderlich sind oder verfügbar sein
müssen, bevor der Benutzer den geschäftlichen Bereich entsperrt, müssen in dieser Domäne
gespeichert werden. Der Domänenschlüssel kann abgerufen und entschlüsselt werden, ohne
dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss.
Wenn die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" auf einen Wert größer
als 0 gesetzt wird, kann auf die Daten in der Sperrdomäne normal zugegriffen werden, bis der erweiterte Schutz von Daten im
Ruhezustand ausgeschaltet wird.
Sie können den erweiterten Schutz von Daten im Ruhezustand auf regulierten BlackBerry Balance-Geräten und auf Geräten,
die nur über einen geschäftlichen Bereich verfügen, verwenden. Auf regulierten BlackBerry Balance-Geräten beeinträchtigt der
erweiterte Schutz von Daten im Ruhezustand persönliche Apps nicht. Sie werden weiterhin ausgeführt und können normal auf
das persönliche Dateisystem des Geräts zugreifen.
Erweiterten Schutz von Daten im Ruhezustand verwalten
Sie können die IT-Richtlinienregel "erweiterten Schutz von Daten im Ruhezustand erzwingen" verwenden, um den erweiterten
Schutz von Daten im Ruhezustand auf Geräten zu aktivieren. Benutzer können den erweiterten Schutz von Daten im
Ruhezustand auf ihren Geräten nicht aktivieren bzw. deaktivieren.
Möglicherweise möchten Sie nicht, dass der erweiterte Schutz von Daten im Ruhezustand aktiviert wird, sobald der
geschäftliche Bereich gesperrt wird, und Sie würden bevorzugen, dass es zwischen der Sperrung des geschäftlichen Bereichs
und der Aktivierung des erweiterten Schutzes von Daten im Ruhezustand eine Verzögerung gibt. Wenn dies der Fall ist, können
Sie die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" verwenden, um eine
Verzögerung von bis zu 24 Stunden einzurichten. Wenn der erweiterte Schutz von Daten im Ruhezustand nicht aktiviert ist,
kann auf die Daten in der Sperrdomäne normal zugegriffen werden.
Sie können verlangen, dass die Zwei-Faktor-Authentifizierung verwendet wird, um die Verschlüsselungsschlüssel für den
erweiterten Schutz von Daten im Ruhezustand zu schützen, indem Sie die IT-Richtlinienregel "Zwei-Faktor-Authentifizierung für
den erweiterten Schutz von Daten im Ruhezustand" verwenden. Die Zwei-Faktor-Authentifizierung schützt die
Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand sowohl mit einem privaten Schlüssel, der auf
einer Smart Card gespeichert ist, als auch mit dem Kennwort des geschäftlichen Bereichs.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
33
Verwalten der Gerätesicherheit mit BES12
Sie können auswählen, wo Wi-Fi- und VPN-Profile im geschäftlichen Bereich auf Geräten, die den erweiterten Schutz von Daten
im Ruhezustand verwenden, gespeichert werden. Unter Verwendung der Profileinstellung "Datensicherheitsebene" in Wi-Fiund VPN-Profilen können Sie festlegen, ob Wi-Fi- und VPN-Profile "immer verfügbar", "nach Authentifizierung verfügbar" oder
"nur verfügbar, wenn der geschäftliche Bereich entsperrt wird" sein sollen. Wenn Sie festlegen, dass die Profile immer
verfügbar sind, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich
gesperrt ist. Wenn Sie festlegen, dass das Profil "nach Authentifizierung verfügbar" ist, wird das Profil in der Betriebsdomäne
gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird.
Wenn Sie festlegen, dass das Profil "Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist", wird das Profil in der
Sperrdomäne gespeichert und kann nur dann für Wi-Fi- oder VPN-Verbindungen verwendet werden, wenn der geschäftliche
Bereich entsperrt ist.
Weitere Informationen über diese Profileinstellungen finden Sie in der Dokumentation für Administratoren.
Verschlüsseln von Daten in Secure Work Space
Im geschäftlichen Bereich werden die von gesicherten Apps gespeicherten Daten mithilfe von AES-256-Verschlüsselung
verschlüsselt. Der geschäftliche Bereich erzeugt zufällig einen separaten Verschlüsselungsschlüssel für jede gesicherte App
und verschlüsselt die Schlüssel mit dem Kennwort des Benutzers für den geschäftlichen Bereich. Im geschäftlichen Bereich
werden alle von einer gesicherten App gespeicherten Daten direkt verschlüsselt und der Schreibvorgang in Dateien erfolgt
indirekt. Die Verschlüsselungsbibliotheken (OpenSSL-FIIPTS oder iOS-Crypto unter iOS und OpenSSL-FIPS unter Android OS)
sind Komponenten der FIPS-zertifizierten kryptografischen Bibliothek von BlackBerry für Secure Work Space.
Gesicherte Apps können Daten nur für andere gesicherte Apps freigeben. Wenn eine gesicherte App anfordert, Daten für eine
andere App freizugeben, fängt der geschäftliche Bereich die Anforderung ab und lässt zu, dass die App fortfährt, wenn beide
Apps gesichert sind. Wenn keine der beiden Apps gesichert sind, lehnt der geschäftliche Bereich die Anforderung ab. Der
geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer gesicherten App in eine andere gesicherte App zu kopieren
und einzufügen, jedoch nicht in eine geschäftliche oder persönliche App.
Bei der Verwendung des geschäftlichen Browsers werden keine Internet- oder Intranetkennwörter gespeichert. Der CookieSpeicher wird genau wie andere Daten des geschäftlichen Bereichs durch das sichere Dateisystem geschützt.
Secure Work Space-Verschlüsselung
34
Verwalten der Gerätesicherheit mit BES12
Für Android-Geräte weist das Android OS eine UID zu einer App zu, wenn die App installiert wird. Die UID ist für jede App
eindeutig, es sei denn, die App fordert die Freigabe einer UID für eine andere App an. Die zwei Apps müssen in diesem Fall mit
dem gleichen Zertifikat des gleichen Entwicklers signiert sein.
Jeder UID wird ein zufälliger Verschlüsselungsschlüssel zugewiesen, wenn die UID das erste Mal ausgeführt wird und die UID
den Schlüssel für die Datenverschlüsselung verwendet. Diese Schlüssel werden in einem getrennten sicheren Dateisystem im
geschäftlichen Bereich gespeichert, und das Dateisystem ist zwischen gesicherten Apps freigegeben. Wenn die App mit der
UID zum ersten Mal ausgeführt wird, fordert sie von der Work Space Manager-App den Verschlüsselungsschlüssel an, der mit
der UID verknüpft ist. Das gesamte sichere Dateisystem, mit Ausnahme des ersten Blocks, wird mithilfe von AES-256 im CBCModus mit 128-Bit-Blöcken verschlüsselt. Der Schlüssel zum Dateisystem wird im ersten Block gespeichert. Anschließend wird
der erste Block mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt.
Bei iOS-Geräten weist Secure Work Space jeder gesicherten App einen zufälligen Verschlüsselungsschlüssel zu, wenn die App
zum ersten Mal ausgeführt wird. Die App verwendet den Schlüssel, um die Daten zu verschlüsseln. Diese Schlüssel werden in
einem vollständig segmentierten virtuellen und sicheren Dateisystem gespeichert, das von den Apps gemeinsam benutzt wird.
Die zugrunde liegende Blockstruktur des sicheren Dateisystems ist proprietär. Das virtuelle Dateisystem ist über einem NANDähnlichen Block mit einer virtuellen Geräteschnittstelle gelagert.
Sowohl auf Android- als auch auf iOS-Geräten ist das gesamte virtuelle Dateisystem, außer der erste Block, mithilfe von
AES-256 im CBC-Modus mit 128-Bitblöcken verschlüsselt. Der Schlüssel zum virtuellen Dateisystem wird im ersten Block
gespeichert. Der erste Block wird anschließend mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten
Schlüssel verschlüsselt. Das Kennwort des geschäftlichen Bereichs wird unter Verwendung von PBKDF2 als
Schlüsselableitungsfunktion mit HMAC-SHA1 abgeleitet.
Speichern von Secure Work Space-Daten auf Medienkarten
Bei Android-Geräten sind auf Medienkarten gespeicherte Daten im geschäftlichen Bereich Teil des sicheren Dateisystems,
genau wie Daten im geschäftlichen Bereich, die auf dem Gerät selbst gespeichert werden. Die Daten auf der Medienkarte
können nur entschlüsselt werden, wenn die Karte an das ursprüngliche Gerät angeschlossen wird und der Benutzer das
Kennwort für den geschäftlichen Bereich eingegeben hat. Auf die Daten auf der Medienkarte kann nicht auf kryptografische
Weise zugegriffen werden, wenn die Karte in ein anderes Gerät eingeführt wird, da die Verschlüsselungsschlüssel nicht
verfügbar sind.
Verwalten von Apps auf Geräten
Sie können BES12 verwenden, um Apps, die Ihr Unternehmen auf Geräten verfügbar machen will, zu verwalten und zu
überwachen. Sie können die auf Geräten erforderlichen Apps und Maßnahmen in den Kompatibilitätsprofilen festlegen, die
ausgeführt werden, wenn der Benutzer die Anwendung nicht installiert. Sie können auch optionale Apps angeben, die die
Benutzer im geschäftlichen Bereich installieren dürfen. Ebenso können Sie beschränkte Apps angeben, die Benutzer nicht
installieren dürfen. Je nach Typ des Geräts und Aktivierungsart können Sie auf einigen Geräten auch steuern, welche Apps
Benutzer im persönlichen Bereich installieren dürfen.
Weitere Informationen zum Angeben erforderlicher, optionaler und eingeschränkter Apps und zum Verhalten dieser Apps auf
verschiedenen Geräten finden Sie in der Dokumentation für Administratoren.
35
Verwalten der Gerätesicherheit mit BES12
Kontrolle von persönlichen Apps auf Geräten
Je nach Typ des Geräts und Aktivierungsart können Sie das Installieren von persönlichen Apps auf den Geräten einschränken.
Für iOS-, Android- und Windows Phone 8.x-Geräte können Sie eine Liste der eingeschränkten Apps erstellen, die Ihre Benutzer
nicht installieren sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen
verbrauchen, zu installieren.
Für BlackBerry 10- und Android-Geräte mit Samsung KNOX Workspace oder Android for Work müssen Sie keine Liste mit
gesperrten Apps erstellen. Auf diesen Geräten können Benutzer nur Apps im geschäftlichen Bereich installieren, die Sie
ausdrücklich zugelassen haben.
Verwandte Informationen
Verhindern der Installation spezifischer Apps durch die Benutzer, auf Seite 66
Installieren von persönlichen Apps auf BlackBerry 10-Geräten
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus
verschiedenen Quellen wie z. B. BlackBerry World, dem Amazon Appstore, E-Mail-Anhängen, Downloads über den Browser,
Medienkarten und mithilfe des Entwicklungsmodus installieren (wenn der Entwicklungsmodus nicht beschränkt ist).
Auf regulierten BlackBerry Balance-Geräten können Sie eine IT-Richtlinienregel verwenden, um Benutzer im persönlichen
Bereich an der Installation von Apps aus anderen Quellen als BlackBerry World oder mithilfe des Entwicklungsmodus zu
hindern. Wenn Sie den Entwicklungsmodus jedoch mit IT-Richtlinienregeln eingeschränkt haben, können Benutzer auch im
persönlichen Bereich keine Apps im Entwicklungsmodus installieren.
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte klassifizieren alle Android-Apps als persönliche Apps, sodass
sie nur im persönlichen Bereich der Geräte installiert werden können. Sie können Android-Apps nicht für die Installation im
geschäftlichen Bereich bereitstellen oder genehmigen. Android-Apps können nur auf persönliche Daten im persönlichen
Bereich zugreifen.
Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten
Sie können BES12 verwenden, um Apps, die Ihr Unternehmen als geschäftliche Apps auf BlackBerry 10-Geräten verfügbar
machen will, zu verwalten und zu überwachen.
Geschäftliche Apps werden zum geschäftlichen Bereich auf Geräten hinzugefügt, und geschäftliche Apps können nur auf
Geschäftsdaten zugreifen und mit anderen geschäftlichen Apps interagieren. Auf Geräten kann dieselbe App getrennt
voneinander im geschäftlichen Bereich und im persönlichen Bereich installiert sein. Jede Instanz der App wird von der anderen
getrennt gehalten und jede arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert
ist. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der
einen Instanz haben keine Auswirkungen auf die andere Instanz. Beispielsweise kann eine im persönlichen Bereich installierte
Instant Messaging-App gegen das Hinzufügen von geschäftlichen Kontakten beschränkt sein, während die gleiche, im
geschäftlichen Bereich installierte Instant Messaging-App nicht dieser Beschränkung unterliegt.
Hinweis: Der geschäftliche Bereich unterstützt BlackBerry Runtime für Android-Apps nicht.
36
Verwalten der Gerätesicherheit mit BES12
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
BlackBerry World for Work
Die App BlackBerry World for Work wird während der Aktivierung im geschäftlichen Bereich auf BlackBerry 10-Geräten
installiert.
BlackBerry World for Work enthält eine Registerkarte "Geschäftliche Apps" und eine Registerkarte "Öffentliche Apps", auf
denen optionale Apps aufgelistet werden. Die Registerkarte "Geschäftliche Apps" bietet eine Liste optionaler Apps, die von
Ihrem Unternehmen gehostet und mit BES12 bereitgestellt werden. Die Registerkarte "Öffentliche Apps" enthält eine Liste der
Apps aus der öffentlichen BlackBerry World-App, die Sie als optionale Apps für den geschäftlichen Bereich angegeben haben.
Wenn eine der Apps, die Sie als optionale Apps angeben, nicht bestimmten Kriterien für Geräte (z. B. Dienstanbieter, Land oder
Geräteversion) entspricht, erscheinen die Apps auf diesen Geräten nicht in BlackBerry World for Work. Wenn Sie eine AndroidApp aus dem öffentlichen BlackBerry World als eine optionale App bestimmen, erscheint diese auf Geräten nicht in BlackBerry
World for Work.
Weitere Informationen zum Hinzufügen von Apps zu BlackBerry World for Work: Siehe Dokumentation für Administratoren .
Nutzer mithilfe von Entwicklungstools von der Installation von Apps abhalten
App-Entwickler können Entwicklungstools verwenden, um Apps, die sie entwickeln, zu testen, indem sie die Apps auf
BlackBerry 10-Geräten mithilfe einer USB- oder Wi-Fi-Verbindung installieren. Sie können mit IT-Richtlinienregeln verhindern,
dass Benutzer über die Entwicklertools Apps auf dem Gerät oder in dessen geschäftlichem Bereich installieren.
Wenn der Entwicklungsmodus auf Geräten nicht erlaubt ist:
•
Benutzer können Apps im geschäftlichen Bereich nur von der Verkaufsplattform BlackBerry World for Work aus
installieren.
•
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich
Apps aus allen verfügbaren Quellen (wie z. B. BlackBerry World und App-Downloads aus dem Browser) installieren,
sie können jedoch den Entwicklungsmodus nicht nutzen.
Verwalten der von Apps geöffneten Links in geschäftlichen und persönlichen Bereichen
eines BlackBerry 10 Geräts
Im Allgemeinen können geschäftliche Apps nur andere geschäftliche Apps öffnen und persönliche Apps nur andere
persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten öffnen. Zum Beispiel öffnet sich beim
Klicken auf Links in persönlichen E-Mail-Nachrichten der Browser im persönlichen Bereich. In einigen Fällen öffnen die
geschäftlichen Apps solche, die als persönliche Apps klassifiziert wurden, wie Telefon, BBM oder SMS. Für solche Fälle haben
Geräte Beschränkungen, die gegen Datenverlust schützen und sicherstellen, dass nur die minimal erforderliche Datenmenge
bei der Initiierung der persönlichen Apps zwischen geschäftlichen und persönlichen Apps übertragen wird.
Standardmäßig können Benutzer den Browser im persönlichen Bereich verwenden, um Links sowohl in persönlichen als auch
in geschäftlichen E-Mail-Nachrichten zu öffnen. Links in geschäftlichen E-Mail-Nachrichten öffnen den Browser im
persönlichen Bereich, und die Geräte zeigen eine Nachricht an, die stattdessen das Öffnen des Links im Browser des
37
Verwalten der Gerätesicherheit mit BES12
geschäftlichen Bereichs zulässt. Sie können eine IT-Richtlinienregel benutzen, die es erforderlich macht, dass Links in
geschäftlichen E-Mails immer im Browser des geschäftlichen Bereichs geöffnet werden.
Vorinstallierte Apps auf Geräten unverfügbar machen
Sie können IT-Richtlinienregeln verwenden, um einige vorinstallierte Apps unverfügbar zu machen. Dies funktioniert auf
Geräten, die nur über einen geschäftlichen Bereich verfügen, sowie auf regulierten BlackBerry Balance-Geräten im
persönlichen sowie im geschäftlichen Bereich. Sie können die Verwendung folgender Apps verhindern:
•
BBM
•
BlackBerry Blend
•
BlackBerry Maps
•
BlackBerry Protect
•
YouTube für BlackBerry-Geräte
•
Von Mobilfunkanbietern installierte Apps
Sie können Benutzern auch das Erstellen von Konten für Dienste wie Facebook, Twitter, LinkedIn und Evernote auf dem Gerät
untersagen.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Kontrolle der Netzwerkverbindung von Apps auf BlackBerry 10-Geräten
Sie können IT-Richtlinienregeln anwenden, um festzulegen, wie geschäftliche und persönliche Apps mit Netzwerken verbunden
werden.
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten wird der geschäftliche und der persönliche Datenverkehr
unabhängig voneinander weitergeleitet. Da Geräte, die nur über einen geschäftlichen Bereich verfügen, vollständig von Ihrem
Unternehmen gesteuert werden, gelten alle Apps und Daten auf diesen Geräten als geschäftliche Apps und geschäftliche
Daten.
Steuern, wie geschäftliche Apps eine Verbindung zu Geschäftsnetzwerken herstellen
Mit IT-Richtlinienregeln können Sie steuern, welche Verbindungsarten geschäftliche Apps auf BlackBerry 10-Geräten zum
Herstellen einer Verbindung zu Ihrem Unternehmensnetzwerk verwenden können. Geschäftliche Apps können über mehrere
Kommunikationsmethoden auf Ihr Unternehmensnetzwerk zugreifen. Diese Verbindungen werden priorisiert und geschäftliche
Apps verwenden normalerweise die Standardroute.
Die IT-Richtlinie "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" steuert, welche Verbindungen für
geschäftliche Apps verfügbar sind. Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps
erzwingen" nicht aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden
Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen:
1.
Geschäftliche VPN-Profile über ein Wi-Fi-Netzwerk
38
Verwalten der Gerätesicherheit mit BES12
2.
Geschäftliche VPN-Profile über ein mobiles Netzwerk
3.
Geschäftliche Wi-Fi-Profile
4.
BlackBerry Infrastructure über ein Wi-Fi-Netzwerk
5.
BlackBerry Infrastructure über ein Mobilfunknetz
Geschäftliche Apps können standardmäßig Wi-Fi-Profile, VPN-Profile oder BES12 für die Verbindung mit Ihrem
Unternehmensnetzwerk verwenden. Wenn Sie den gesamten Datenverkehr auf Geräten steuern oder filtern möchten, können
Sie die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" verwenden. Wenn Sie diese
Regel wählen, deaktivieren Sie Wi-Fi- und VPN-Verbindungen für geschäftliche Apps und beschränken die Konnektivität
ausschließlich auf BES12 (dabei kommen der BlackBerry MDS Connection Service und die BlackBerry Infrastructure zum
Einsatz).
Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" aktiviert ist, versuchen
geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem
Unternehmensnetzwerk herzustellen:
1.
BlackBerry Infrastructure über ein Wi-Fi-Netzwerk
2.
BlackBerry Infrastructure über ein Mobilfunknetz
39
Verwalten der Gerätesicherheit mit BES12
Verhindern, dass sich persönliche Apps mit Netzwerken verbinden
Standardmäßig können persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten das VPN- oder
Wi-Fi-Netzwerk Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen.
Sie können mit einer IT-Richtlinienregel alle Apps im persönlichen Bereich daran hindern, dass sie Ihre
Unternehmensnetzwerke zur Verbindung mit dem Internet nutzen. Wenn Sie verhindern, dass persönliche Apps das Netzwerk
Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen, wenn kein persönliches Netzwerk
verfügbar ist, ist es möglich, dass persönliche Apps, die eine Internetverbindung erfordern, nicht funktionieren.
BBM Video wird als eine persönliche App auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten klassifiziert.
Wenn Sie persönlichen Apps gestatten, die Netzwerke Ihres Unternehmens zur Internetverbindung zu nutzen, können Sie mit
einer IT-Richtlinienregel BBM Video daran hindern, die Netzwerke Ihrer Organisation für eingehende und ausgehende VideoChats zu benutzen.
Geschäftlichen Apps erlauben, eine Verbindung zu persönlichen Netzwerken herzustellen
Standardmäßig können geschäftliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten keine
persönlichen Netzwerke nutzen, um eine Verbindung zum Internet herzustellen. Sie können mit einer IT-Richtlinienregel
bestimmen, dass geschäftliche Apps, einschließlich Terminplaner-Apps, Verbindungen mithilfe von persönlichen Netzwerken
herstellen, wenn das geschäftliche Wi-Fi-Netzwerk oder VPN nicht verfügbar ist.
Die meisten Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, senden alle Daten über das Netzwerk Ihres
Unternehmens. Die folgenden Apps und Funktionen auf Geräten, die nur über einen geschäftlichen Bereich verfügen, leiten
keinen Datenverkehr durch das Netzwerk Ihres Unternehmens und können Daten durch jede persönliche Wi-Fi-Verbindung
oder über das mobile Netzwerk senden:
•
Softwareupdates
•
BBM, einschließlich BBM Voice und BBM Video
•
Hotspot-Browser
40
Verwalten der Gerätesicherheit mit BES12
•
Mobile Bezahl-Kommunikation mit einem Zahlungsdienst
•
Ersteinrichtung persönlicher E-Mail-Konten (persönliche E-Mail-Nachrichten werden durch das Netzwerk Ihres
Unternehmens geleitet)
Good Dynamics-Produktivitätsanwendungen
Sie können BES12 verwenden, um iOS- und Android-Geräten den Zugriff auf Good Dynamics-Produktivität-Apps, wie Good
Work, Good Access und Good Connect, zu ermöglichen.
DieGood Work-App bietet sicheren Zugriff auf geschäftliche E-Mails und ermöglicht Benutzern das Anzeigen und Senden von
Anlagen, Erstellen benutzerdefinierter Benachrichtigungen und das Verwalten ihrer Nachrichten. Good Access ist ein sicherer
Browser, der Benutzern den sicheren Zugriff auf das Unternehmens-Intranet und Webanwendungen ermöglicht. Er ermöglicht
Ihnen zudem den Zugang zu Ressourcen an Ihrem Arbeitsplatz oder das Erstellen und Bereitstellen von HTML5-Apps, während
gleichzeitig ein hohes Maß an Sicherheit und Richtlinientreue gewährleistet ist. Good Connect unterstützt Kommunikation und
Zusammenarbeit mit sicherem Instant Messaging, Suchanfragen im Unternehmensverzeichnis und
Anwesenheitsbenachrichtigungen über eine benutzerfreundliche Schnittstelle auf dem Gerät des Benutzers.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Gesicherte Apps auf Geräten mit Secure Work Space
Gesicherte Apps werden speziell zur Ausführung im geschäftlichen Bereich von iOS- und Android-Geräten mit Secure Work
Space entwickelt. Gesicherte Apps bieten die gleiche Sicherheitsstufe wie Apps, die im geschäftlichen Bereich auf BlackBerry
10-Geräten installiert sind. Sichere Anwendungen sind gewrappt und verfügen über einen "Fingerabdruck". Zusätzlich zu
gesicherten Standard-Apps können Sie die internen Apps Ihres Unternehmens in gesicherte Apps konvertieren und sie im
geschäftlichen Bereich installieren. Alternativ können Sie sichere Apps vom App Store oder Google Play verteilen, die der AppAnbieter speziell für die Ausführung im geschäftlichen Bereich vorbereitet hat.
Typen von Apps für Secure Work Space
Geräte mit Secure Work Space können drei verschiedene Arten von Apps ausführen:
Art von App
Beschreibung
Persönliche App
Eine App, die der Benutzer auf dem Gerät installiert, oder eine App, die der Hersteller oder der
Mobilfunkanbieter auf dem Gerät installiert. BES12 behandelt diese Apps und die von diesen
Apps gespeicherten Daten als persönliche Daten.
Geschäftliche App
Eine App, die Sie auf dem Gerät eines Benutzers installieren und verwalten. BES12 behandelt
diese Apps und die von diesen Apps gespeicherten Daten als geschäftliche Daten.
41
Verwalten der Gerätesicherheit mit BES12
Art von App
Beschreibung
Gesicherte App
Eine geschäftliche App, die der geschäftliche Bereich mit zusätzlichen Schutzmaßnahmen
sichert. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als Daten
im geschäftlichen Bereich.
Es gibt verschiedene Typen gesicherter Apps:
Art von App
Beschreibung
Standardmäßig gesicherte
App
Eine gesicherte App, die auf jedem Gerät mit Secure Work Space angezeigt wird.
Intern gesicherte App
Eine App, die von Ihrem Unternehmen entwickelt und speziell vorbereitet wird, um im
geschäftlichen Bereich ausgeführt zu werden.
Extern gesicherte App
Eine App, die von einem Drittanbieter entwickelt wird und vom App-Anbieter speziell
vorbereitet wird, um im geschäftlichen Bereich ausgeführt zu werden.
Verwalten der Verfügbarkeit von gesicherten Apps auf Geräten
Sie können BES12 verwenden, um gesicherte Apps auf Geräten mit Secure Work Space zu installieren und zu verwalten.
Gesicherte Apps können nur auf Daten im geschäftlichen Bereich zugreifen und mit anderen gesicherten Apps interagieren.
Standardmäßig gesicherte Apps werden auf jedem Gerät mit Secure Work Space angezeigt. Bei den folgenden Apps handelt es
sich um standardmäßig gesicherte Apps:
Gerätetyp
iOS
Android
Name
•
Work Connect – für E-Mail, Kalender, Kontakte, Notizen und Aufgaben
•
Work Browser – für Internet-Browsing
•
Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien
•
Work Space Manager – für das Ausführen der sonstigen gesicherten Apps auf dem
Gerät erforderlich
•
Secure Work Space – für E-Mail, Kalender, Kontakte und Internet-Browsing
•
Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien
Sie haben auch die Möglichkeit, die internen Apps Ihres Unternehmens in gesicherte Apps zu konvertieren. Sie müssen die
binäre App-Datei (.apk oder .ipa) mithilfe der Verwaltungskonsole sichern. Daraufhin muss der Entwickler der App die App neu
signieren (und bei Bedarf eine Berechtigungsdatei erstellen). Schließlich können Sie die App im geschäftlichen Bereich auf
Geräten installieren.
42
Verwalten der Gerätesicherheit mit BES12
Weitere Informationen zur Installation einer App im geschäftlichen Bereich finden Sie in der Dokumentation für
Administratoren.
Anbieter von Drittanbieter-Apps können gesicherte Apps erstellen, die speziell für die Ausführung im geschäftlichen Bereich
konzipiert wurden, und im App Store oder dem Google Play verfügbar machen. Sie können diese Apps im geschäftlichen
Bereich auf Benutzergeräten installieren. Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps
zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt werden. Nur der App-Anbieter kann Apps
sichern und neu signieren, sodass sie im geschäftlichen Bereich installiert werden können.
Sie können die gesicherten Anwendungen festlegen, die Sie installieren, aktualisieren oder entfernen möchten, und Sie können
festlegen, welche Apps erforderlich oder optional sind. Sie können auch die Gerätemodelle bestimmen, die eine App
unterstützen, sodass sie nur auf kompatiblen Geräten installiert wird. Wenn Sie bestimmen, dass eine App erforderlich ist, wird
diese App automatisch auf dem Gerät installiert. Wenn Benutzer die App entfernen, können Sie das Profil für die
Vorschrifteneinhaltung verwenden, um eine Benachrichtigung an die Benutzer zu senden und sie aufzufordern, die
Anforderungen Ihres Unternehmens zu erfüllen. Sie können auch den Zugriff von Benutzern auf die Ressourcen und
Anwendungen Ihres Unternehmens beschränken und geschäftliche Daten oder alle Daten vom Gerät löschen.
Auf Geräten mit Secure Work Space kann die gleiche App separat als gesicherte App und entweder als geschäftliche oder
persönliche App installiert werden. Alle Instanzen der App sind voneinander getrennt und jede App arbeitet gemäß den Regeln
und Beschränkungen, die für den Bereich gelten, in dem die App installiert wurde. Die Apps können konfiguriert, aktualisiert
oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die
andere Instanz. Zum Beispiel ist es möglich, dass eine als persönliche App installierte Instant Messaging-App bei der
Hinzufügung von geschäftlichen Kontakten eingeschränkt ist, während diese Einschränkung nicht gilt, wenn die gleiche Instant
Messaging-App als gesicherte App installiert wird.
So umschließt ein geschäftlicher Bereich gesicherte Apps
Ein geschäftlicher Bereich schützt gesicherte Apps durch das Wrapping von Apps davor, dass andere Apps auf dem Gerät
ausgeführt werden. Das Wrapping von Apps ist ein Vorgang, bei dem einer bestehenden App eine Sicherheitsschicht und
Kontrolle hinzugefügt werden. Der Quellcode der App wird nicht verändert. Stattdessen übernimmt der Wrapping-Vorgang die
Anforderungen der App an die Systemdienste und leitet diese an eine Bibliothek von Mechanismen und Richtlinien um. BES12
umschließt Apps automatisch für iOS- und Android-Geräte, wenn Sie die Apps als gesichert festlegen. Der App-WrappingVorgang ist voll mit den Richtlinien kompatibel, die Apple für iOS-Geräte erzwingt.
Der App-Wrapping-Vorgang schaltet System-API-Aufrufe zwischen, damit der geschäftliche Bereich die Anforderungen einer
gesicherten App an Systemdienste weiterleiten kann. Bei Apps, die unter Android OS auf der virtuellen Maschine Dalvik
ausgeführt werden, führt der geschäftliche Bereich die Zwischenschaltung auf zwei Schichten durch: Ersetzen von Dalvik-ByteCode-API-Aufrufen durch eigene Abschnitte und Verknüpfen von Aufrufen für nativen Objektcode. Bei Apps, die unter iOS nicht
auf einer virtuellen Maschine ausgeführt werden, verknüpft der geschäftliche Bereich nur Aufrufe für nativen Objektcode.
Der App-Wrapping-Vorgang packt dann die App um, sodass der Sicherheitscode und der ursprüngliche Code physisch nicht
getrennt werden können. Dieses Umpacken stellt sicher, dass bei nachfolgenden Änderungen an einer gesicherten App durch
Dritte die Ausführung der gesicherten App auf dem Gerät verhindert wird.
43
Verwalten der Gerätesicherheit mit BES12
App-Wrapping in der BlackBerry Infrastructure
Ist das Wrapping einer App erfolgreich, wird die App 72 Stunden in der BlackBerry Infrastructure gespeichert, nachdem das
Wrapping abgeschlossen ist. Schlägt das Wrapping einer App fehl, dann gibt die BlackBerry Infrastructure einen Fehlerstatus
an BES12 aus, bevor die BlackBerry Infrastructure die App aus ihren Datensätzen löscht.
Wenn BES12 eine App an die BlackBerry Infrastructure zum Wrapping sendet, wird ein eindeutiger Mandantenbezeichner
gesendet. Die BlackBerry Infrastructure bezieht den Mandantenbezeichner im Wrapping mit ein und erfasst die Zuordnung
zwischen dem Mandantenbezeichner und der gewrappten App. Wenn die App nach der Weiterleitung an ein Gerät einen
Zusammenschluss mit anderen gesicherten Apps versucht, sendet das Gerät zunächst eine Anforderung an die BlackBerry
Infrastructure, um zu überprüfen, ob Benutzer, Gerät und App mit dem Mandantenbezeichner verknüpft sind. Durch diese
Überprüfung wird verhindert, dass die App im geschäftlichen Bereich anderer Besitzer von BES12 ausgeführt wird. Die
BlackBerry Infrastructure untersucht während der Überprüfung auch App-Metadaten wie die Signatur und den Paketnamen.
Wenn die Überprüfung erfolgreich ist, wird die App für den Zusammenschluss auf dem Gerät zugelassen.
Externe gesicherte Apps, die öffentlich in einem App Store verfügbar sind, enthalten keinen Mandantenbezeichner und können
im geschäftlichen Bereich aller BES12-Besitzer ausgeführt werden.
Austausch von Informationen zwischen gesicherten Apps
Durch den Zusammenschluss können gesicherte Apps Informationen auf kontrollierte Weise austauschen. App-Wrapping stellt
eine definierte Schnittstelle bereit, mit der eingeschränkt wird, was Apps tun können, wenn sie mithilfe des verschlüsselten
Dateisystems kommunizieren.
Wenn eine gesicherte App in der BlackBerry Infrastructure gewrappt wird, wird ein Hash des App-Codes erzeugt. Dieser
Hashwert ist auch als Fingerabdruck bekannt, und die BlackBerry Infrastructure zeichnet den Fingerabdruck und die
Metadaten der App auf.
Wenn eine gesicherte App zum ersten Mal auf einem Gerät ausgeführt wird, wird von dem Gerät eine Laufzeitversion des
Fingerabdrucks und der Metadaten der App erstellt und an die BlackBerry Infrastructure gesendet. Die BlackBerry
Infrastructure vergleicht den gespeicherten Fingerabdruck und die gespeicherten Metadaten mit den Laufzeitversionen des
Fingerabdrucks und der Metadaten. Bei einer Übereinstimmung benachrichtigt die BlackBerry Infrastructure das Gerät, das es
eine Zusammenführung durchführen und die App ausführen kann. Stimmen die beiden Versionen der Fingerabdrücke und
Metadaten nicht überein, benachrichtigt die BlackBerry Infrastructure das Gerät, dass die App nicht zusammengeführt und
ausgeführt werden kann. Der Benutzer sieht eine Fehlermeldung.
Über eine dynamische Zusammenführungsliste auf dem Gerät wird identifiziert, welche gesicherten Apps zusammengeführt
werden können. Wenn die BlackBerry Infrastructure das Gerät benachrichtigt, dass es eine Zusammenführung durchführen
und die App ausführen kann, fügt das Gerät die App zur Zusammenführungsliste hinzu. Bei jeder folgenden Ausführung der
App vergleicht das Gerät den Laufzeit-Fingerabdruck der App mit dem in der Zusammenführungsliste zwischengespeicherten
Fingerabdruck. Die BlackBerry Infrastructure kann die Zusammenführungsliste jederzeit widerrufen und das Gerät dazu
zwingen, die Liste zu rekonstruieren. Netzwerkkonnektivität wird benötigt, um zu überprüfen, ob eine App für die
Zusammenführung zugelassen werden kann.
Wenn die Zusammenführung erfolgreich ist, können die zusammengeführten Apps einen Schlüsselaustausch mit
Einschränkungen durchführen, sodass sie Zugriff auf die gleichen Daten im verschlüsselten Dateisystem haben.
44
Verwalten der Gerätesicherheit mit BES12
So fertigt ein geschäftlicher Bereich Fingerabdrücke gesicherter Apps an
Ein geschäftlicher Bereich schützt gesicherte Apps mithilfe von Fingerabdrücken vor Trojanern und Schadsoftware.
Fingerabdrücke verwenden einen Algorithmus, um eine App einer kurzen Bitfolge zuzuweisen. Diese Bitfolge ist der
Fingerabdruck der App und dient als eindeutiger Datensatz der App. Die Überprüfung eines Fingerabdrucks ist effizienter als
die Übertragung und der Vergleich der ursprünglichen App mit der App auf dem Gerät, wobei viel größere Dateien als bei einem
Fingerabdruck benötigt werden.
Bevor eine gesicherte App zu einem Gerät mit Secure Work Space hinzugefügt wird, erstellt die BlackBerry Infrastructure einen
Fingerabdruck der gesicherten App. Die BlackBerry Infrastructure sendet die gesicherte App und den Fingerabdruck an das
Gerät. Bevor die gesicherte App auf dem Gerät hinzugefügt wird, berechnet der geschäftliche Bereich den Fingerabdruck der
gesicherten App und vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Jedes Mal,
wenn die gesicherte App ausgeführt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App und
vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Wenn die verglichenen
Fingerabdrücke nicht übereinstimmen, führt das Gerät die gesicherte App nicht aus.
Anlagen für gesicherte Drittanbieter-Apps
Standardmäßig können Anlagen für eine gesicherte Drittanbieter-App nicht außerhalb der UID geöffnet werden, es sei denn,
die App erlaubt den Datenaustausch mit anderen Apps. Beispiele für Anlagen einer gesicherten Drittanbieter-App sind u. a. EMail, MMS und Browser-Downloads. Das Wrapping der App fängt die Standard-APIs ab, die iOS und Android verwenden und
verhindert, dass die App Daten in eine andere App überträgt. Private APIs sind in iOS oder Android nicht erlaubt. Das Wrapping
stellt auch sicher, dass Anlagen vor dem Speichern verschlüsselt werden.
Kennwörter
Gerätekennwörter und Kennwörter für den geschäftlichen Bereich schützen die Daten Ihres Unternehmens und die
Benutzerinformationen, die auf den Geräten gespeichert sind. Sie können BES12 verwenden, um den Kennwortschutz auf
Geräten zu erzwingen.
Anforderungen für Gerätekennwörter können mithilfe von IT-Richtlinienregeln eingerichtet werden. Jeder Gerätetyp unterstützt
verschiedene IT-Richtlinienregeln zur Kontrolle der Passwortanforderungen für das Gerät und den geschäftlichen Bereich. Sie
können Anforderungen an die Kennwortlänge und -komplexität, die Gültigkeitsdauer, die Dauer der Inaktivität, bis das Gerät
oder der geschäftliche Bereich zur Kennworteingabe auffordert und die Anzahl der möglichen Eingabeversuche festlegen.
Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren.
Ändern von Kennwörtern
In Abhängigkeit von den unterstützen Gerätefunktionen können Sie BES12-Verwaltungsbefehle nutzen, um Geräte aus der
Entfernung zu sperren und die Kennwörter zu ändern. Sie können dies beispielsweise tun, wenn ein Gerät verloren gegangen ist
45
Verwalten der Gerätesicherheit mit BES12
oder ein Benutzer das Kennwort vergessen hat. Wenn ein Gerät über einen geschäftlichen Bereich verfügt, können Sie auch das
Kennwort für den geschäftlichen Bereich ändern.
Die folgenden Optionen stehen für den jeweiligen Gerätetyp zur Verfügung:
BlackBerry 10
IT-Administrationsbefehl
Beschreibung
Gerätekennwort festlegen,
Gerät sperren und Nachricht
einrichten
Dieser Befehl erzeugt ein neues Gerätekennwort, legt eine Mitteilung auf der Startseite fest
(zum Beispiel Informationen darüber, wo ein gefundenes Gerät abgegeben werden soll) und
sperrt dann das Gerät. Sie müssen ein Kennwort erstellen, das die bestehenden
Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät
aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den
geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Kennwort für den
geschäftlichen Bereich.
Geschäftlichen Bereich
sperren und Kennwort
festlegen
Mit diesem Befehl können Sie ein neues Kennwort für den geschäftlichen Bereich auf
BlackBerry Balance-Geräten oder regulierten BlackBerry Balance-Geräten festlegen und den
geschäftlichen Bereich sperren. Sie müssen ein Kennwort erstellen, das die bestehenden
Kennwortregeln erfüllt. Um den geschäftlichen Bereich zu entsperren, muss der Benutzer das
neue von Ihnen erstellte Kennwort eingeben.
Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den
geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Gerätekennwort.
iOS
IT-Administrationsbefehl
Beschreibung
Gerät sperren
Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort
eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können
Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort
vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Kennwort entsperren und
löschen
Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur
Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der
Benutzer das Gerätekennwort vergessen hat.
46
Verwalten der Gerätesicherheit mit BES12
IT-Administrationsbefehl
Beschreibung
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Geschäftlichen Bereich
sperren
Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das
bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu
entsperren.
Kennwort für geschäftlichen
Bereich zurücksetzen
Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn
der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort
für den geschäftlichen Bereich festzulegen.
OS X
IT-Administrationsbefehl
Beschreibung
Desktop sperren
Mit diesem Befehl können Sie eine PIN festlegen und das Gerät sperren.
Android
IT-Administrationsbefehl
Beschreibung
Gerät sperren
Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort
eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können
Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort
vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
Kennwort entsperren und
löschen
Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur
Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der
Benutzer das Gerätekennwort vergessen hat.
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Geschäftlichen Bereich
sperren
Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das
bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu
entsperren.
Dieser Befehl ist nur für Geräte mit Secure Work Space verfügbar.
47
Verwalten der Gerätesicherheit mit BES12
IT-Administrationsbefehl
Beschreibung
Kennwort für geschäftlichen
Bereich zurücksetzen
Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn
der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort
für den geschäftlichen Bereich festzulegen.
Dieser Befehl ist nur für Geräte mit Secure Work Space oder Samsung KNOX Workspace
verfügbar.
Gerätekennwort festlegen und Mit diesem Befehl erstellen Sie ein Gerätekennwort. Anschließend wird das Gerät gesperrt. Sie
sperren
müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der
Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu
akzeptieren oder abzulehnen.
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Windows
IT-Administrationsbefehl
Beschreibung
Gerät sperren
Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort
eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können
Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort
vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
Dieser Befehl wird nur auf Geräten unterstützt, auf denen Windows 10 Mobile und Windows
Phone 8.1 oder höher ausgeführt wird.
Gerätekennwort erstellen und Mit diesem Befehl wird ein neues Kennwort generiert und das Gerät gesperrt. Das generierte
Gerät sperren
Kennwort wird dem Benutzer per E-Mail gesendet. Sie können die vorgewählte E-Mail-Adresse
verwenden oder eine E-Mail-Adresse angeben. Das generierte Kennwort erfüllt alle
bestehenden Kennwortregeln.
Dieser Befehl wird auf nur Geräten mit Windows 10 Mobile und Windows Phone OS
Version 8.10.14176 oder höher unterstützt.
Kennwörter für BlackBerry 10-Geräte
BlackBerry 10-Geräte verwenden die gleichen Kennwortregeln für das Gerät und den geschäftlichen Bereich. Auf Geräten, die
nur über einen geschäftlichen Bereich verfügen, sind Kennwörter nicht optional. Da nur ein geschäftlicher Bereich auf diesen
Geräten verfügbar ist, müssen Benutzer ein Kennwort festlegen; die Kennwortanforderungen und -optionen gelten für das
gesamte Gerät.
48
Verwalten der Gerätesicherheit mit BES12
Bei BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten bestimmt die Richtlinienregel "Kennwort für
geschäftlichen Bereich erforderlich", ob der geschäftliche Bereich ein Kennwort benötigt. Wenn diese Regel ausgewählt wurde,
wird das geschäftliche Kennwort (in den "BlackBerry Balance"-Einstellungen des Geräts) als das Kennwort für den
geschäftlichen Bereich verwendet.
Wenn die IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich" ausgewählt wurde, können Sie außerdem
mithilfe der Regel "Kennwort für das gesamte Gerät anfordern" verlangen, dass Benutzer ein Kennwort für das gesamte Gerät
festlegen. Wenn Sie dies tun, können Sie für Geräte mit BlackBerry 10 OS Version 10.3.1 oder höher die IT-Richtlinienregel
"Verhalten der Kennwörter des geschäftlichen Bereichs und Gerätekennwort definieren" anwenden, um festzulegen, ob das
Kennwort des geschäftlichen Bereiches und das Gerätekennwort gleich oder verschieden sein müssen, oder Sie können den
Benutzer wählen lassen. Wenn Sie den Benutzer wählen lassen, kann dieser sein Kennwort des geschäftlichen Bereichs als sein
Gerätekennwort verwenden, indem er die Option "Als mein Gerätekennwort verwenden" in den "BlackBerry Balance"Einstellungen auswählt. Wenn das Kennwort des geschäftlichen Bereichs und das Gerätekennwort gleich sind, wird das
geschäftliche Kennwort als das Kennwort für das gesamte Gerät verwendet und die IT-Richtlinienregeln in der Regelgruppe
"Kennwort" gelten für das Kennwort des gesamten Geräts. Wenn ein Benutzer das Gerät entsperrt, wird gleichzeitig der
geschäftliche Bereich entsperrt. Benutzer können den geschäftlichen Bereich manuell sperren, wenn sie den persönlichen
Bereich der Geräte nutzen.
Wenn Sie nicht verlangen, dass Benutzer ein geschäftliches Kennwort festlegen, können Sie weder das Kennwort für das
gesamte Gerät anfordern, noch das Verhalten des Kennworts des geschäftlichen Bereichs und des Gerätekennworts definieren
oder zusätzliche Kennwortanforderungen an Geräte durchsetzen.
Benutzer können Gerätekennworteinstellungen mit der Option "Gerätekennwort" in den Einstellungen unter "Sicherheit und
Datenschutz" auf den Geräten konfigurieren. Wenn ein Benutzer die persönliche Datenverschlüsselung mithilfe der Option
"Verschlüsselung" auf den Geräten aktiviert, muss er ein Gerätekennwort festlegen. Geräte ermöglichen den Benutzern die
Definition stärker eingeschränkter, aber niemals weniger eingeschränkter Kennworteinstellungen als die von Ihnen
angegebenen Kennwortregeln. Wenn die IT-Richtlinienregel "Mindestkomplexität des Kennworts" auf "Keine Einschränkung"
festgelegt ist, können Benutzer eine einfache Kennwortoption einstellen, um ein numerisches Kennwort des geschäftlichen
Bereichs oder ein numerisches Gerätekennwort anstatt eines alphanumerischen Kennworts festzulegen.
Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Sie können
auch die Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/
herunterladen.
Ändern von BlackBerry 10-Gerätekennwörtern
Sie können BES12 verwenden, um den IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten"
an ein Gerät zu senden, um das Gerätekennwort zu ändern.
Dieser Befehl führt auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden
Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt:
Bedingungen
•
Ergebnis
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Dieser Befehl erzeugt ein Kennwort für das gesamte Gerät
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
49
Verwalten der Gerätesicherheit mit BES12
Bedingungen
Ergebnis
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
•
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Das Gerät verfügt über ein Kennwort für •
das gesamte Gerät
•
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
•
Die Kennwörter sind nicht durch die ITRichtlinienregel "Kennwort für das
gesamte Gerät anfordern" oder die
Geräteoption "Als mein Gerätekennwort
verwenden" verknüpft
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Kennwort für den geschäftlichen
•
Bereich wird als das Kennwort für das
•
gesamte Gerät mithilfe der ITRichtlinienregel "Kennwort für das
gesamte Gerät anfordern" durchgesetzt
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
•
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Der Benutzer bestimmt das Kennwort
•
für den geschäftlichen Bereich als das
Kennwort für das gesamte Gerät mithilfe
•
der Option "Als mein Gerätekennwort
verwenden"
Das gesamte Gerät wird gesperrt, beide Kennwörter werden
synchronisiert und das neue Kennwort ist das Kennwort für das gesamte
Gerät
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
Die Kennwörter sind nicht verknüpft
Der IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" kann auch verwendet werden, um
eine Nachricht einzurichten, die auf der Startseite des Geräts erscheint. Zum Beispiel können Kontaktinformationen angezeigt
werden, die verwendet werden können, um das Gerät zum Besitzer zurückzubringen.
Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort
kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er
vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Weitere Informationen zum Senden des IT-Administrationsbefehls „Gerätekennwort angeben, Gerät sperren und Nachricht
einrichten“ an ein Gerät finden Sie in der Dokumentation für Administratoren.
50
Verwalten der Gerätesicherheit mit BES12
Ändern von BlackBerry 10-Kennwörtern für den geschäftlichen Bereich
Sie können BES12 verwenden, um den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an
ein Gerät zu senden, um das Kennwort für den geschäftlichen Bereich zu ändern.
Geräte, die nur über einen geschäftlichen Bereich verfügen, verfügen nur über ein Gerätekennwort. Obwohl Sie diesen Befehl
an Geräte, die nur über einen geschäftlichen Bereich verfügen, senden können, führt dies zu demselben Ergebnis wie das
Senden des IT-Administrationsbefehls "Gerätekennwort festlegen, sperren und Nachricht einrichten".
Wenn Sie den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an BlackBerry Balance- oder
regulierte BlackBerry Balance-Geräte senden, führt dieser Befehl auf Geräten je nach deren Kennwörtern und Einstellungen zu
verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für
diese hat, aufgeführt:
Bedingungen
Ergebnis
•
Das Gerät verfügt über kein Kennwort
für den geschäftlichen Bereich
•
Der Befehl erzeugt ein Kennwort für den geschäftlichen Bereich
•
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
•
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Gerät verfügt über ein Kennwort für •
das gesamte Gerät
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Die Kennwörter werden von Ihnen oder •
vom Benutzer (über die ITRichtlinienregel "Kennwort für das
gesamte Gerät ist erforderlich" oder die
Option "Als mein Gerätekennwort
verwenden" auf dem Gerät) nicht
verknüpft.
Das Kennwort für das gesamte Gerät ist nicht betroffen
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
51
Verwalten der Gerätesicherheit mit BES12
Bedingungen
•
Ergebnis
Sie können das Kennwort für den
•
geschäftlichen Bereich als das
•
Kennwort für das gesamte Gerät mithilfe
der IT-Richtlinienregel "Kennwort für
das gesamte Gerät anfordern"
durchsetzen
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das gesamte Gerät wird gesperrt, beide Kennwörter werden
synchronisiert und das neue Kennwort ist das Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Der Benutzer bestimmt das Kennwort
•
für den geschäftlichen Bereich als das
Kennwort für das gesamte Gerät mithilfe •
der Option "Als mein Gerätekennwort
•
verwenden"
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
Das Kennwort für das gesamte Gerät ist nicht betroffen
Die Kennwörter sind nicht verknüpft
Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort
kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er
vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Weitere Informationen zum Senden des IT-Administrationsbefehls „Neues Kennwort für den geschäftlichen Bereich angeben
und geschäftlichen Bereich sperren“ an ein Gerät finden Sie in der Dokumentation für Administratoren.
Datenfluss: Wenn Sie das Kennwort für den geschäftlichen Bereich auf einem BlackBerry
Balance- oder einem regulierten BlackBerry Balance-Gerät ändern
1.
Sie senden den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an das Gerät.
2.
Das Gerät sendet den verschlüsselten Zwischenschlüssel an BES12.
3.
BES12 verwendet den privaten Schlüssel, der mit dem Gerät verknüpft ist, um den Zwischenschlüssel zu entschlüsseln,
und sendet den Zwischenschlüssel zurück an das Gerät.
BES12 speichert einen eindeutigen privaten Schlüssel für jedes aktivierte Gerät.
4.
Das Gerät führt die folgenden Aktionen aus:
52
Verwalten der Gerätesicherheit mit BES12
•
Verwendet den Zwischenschlüssel, um den geschäftlichen Hauptschlüssel erneut abzuleiten, und entschlüsselt
den geschäftlichen Domänenschlüssel
•
Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert
ihn auf dem Gerät
•
Generiert einen neuen Zwischenschlüssel
•
Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel zu generieren, und
verwendet diesen, um den geschäftlichen Domänenschlüssel zu verschlüsseln
•
Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den BES12 mit dem Gerät
verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät
Da nur BES12 den zugehörigen privaten Schlüssel hat, kann nur BES12 den verschlüsselten Zwischenschlüssel
entschlüsseln. Der Zwischenschlüssel wird nie dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.
Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.
Datenfluss: Wenn ein Benutzer das Kennwort für den geschäftlichen Bereich auf einem
BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändert
1.
In den BlackBerry Balance-Einstellungen auf dem Gerät gibt der Benutzer das aktuelle Kennwort und das neue Kennwort
ein.
2.
Das Gerät authentifiziert den Benutzer durch Berechnung eines SHA-512-Hashwerts des aktuellen Kennworts und eines
gespeicherten 64-Bit-Saltwerts und vergleicht das Ergebnis mit dem gespeicherten Hashwert des aktuellen Kennworts.
Wenn die zwei Hashwerte übereinstimmen, wird der geschäftliche Bereich entsperrt und das Zurücksetzen des
Kennworts fortgesetzt.
3.
Das Gerät führt die folgenden Aktionen aus:
•
Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert
ihn auf dem Gerät
•
Leitet den aktuellen Zwischenschlüssel ab
•
Verwendet den aktuellen Zwischenschlüssel, um den aktuellen geschäftlichen Hauptschlüssel abzuleiten, und
entschlüsselt den geschäftlichen Domänenschlüssel
•
Leitet einen neuen Zwischenschlüssel ab
•
Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel abzuleiten, den es
verwendet, um den geschäftlichen Domänenschlüssel zu verschlüsseln
•
Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den der BES12 Core mit dem
Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät
Da nur der BES12 Core über den entsprechenden eindeutigen privaten Schlüssel für jedes Gerät verfügt, der auf dem
BES12 Coreaktiviert wird, kann nur der BES12 Core den verschlüsselten Zwischenschlüssel entschlüsseln. Der
Zwischenschlüssel wird nicht dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.
Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.
53
Verwalten der Gerätesicherheit mit BES12
Steuern des Sicherheits-Timeout
Sie können die IT-Richtlinienregel "Sicherheits-Timeout" verwenden, um zu verlangen, dass ein BlackBerry 10-Gerät den
geschäftlichen Bereich oder das gesamte Gerät nach einem bestimmten Zeitraum der Inaktivität wie folgt sperrt:
Gerätetyp
Beschreibung
•
BlackBerry Balance
•
•
Reguliertes BlackBerry
Balance
Bei Geräten, die unterschiedliche Kennwörter für den geschäftlichen und
persönlichen Bereich eingestellt haben, kann die IT-Richtlinienregel "SicherheitsTimeout" zur Kontrolle von Zeitüberschreitungen im geschäftlichen Bereich
verwendet werden.
•
Bei Geräten, deren geschäftliches Kennwort für das gesamte Gerät gültig ist, kann
die IT-Richtlinienregel "Sicherheits-Timeout" zur Kontrolle von
Zeitüberschreitungen auf dem gesamten Gerät verwendet werden.
Nur geschäftlicher Bereich
Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, steuert die ITRichtlinienregel "Sicherheits-Timeout" die Handhabung von Zeitüberschreitungen auf
dem gesamten Gerät, da es nur einen Bereich gibt.
Geschäftliche Apps (einschließlich Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen)
folgen dem Sicherheits-Timeout für den geschäftlichen Bereich. Wenn es in der festgelegten Zeit keine Benutzeraktivität im
geschäftlichen Bereich gibt, sperrt sich der geschäftliche Bereich automatisch, auch wenn der Benutzer zu der Zeit persönliche
Apps verwendet (keine Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen).
Bestimmte Apps wie beispielsweise Apps, die Navigationsinformationen, Diashows und Videos anzeigen, können das
Sicherheits-Timeout verlängern. Standardmäßig können diese Apps den Sicherheitstimer zurücksetzen und so das Gerät daran
hindern, die Sperre nach der festgelegten Inaktivitätsperiode zu aktivieren. Wenn Sie diese Funktion von Apps verhindern
möchten, stellen Sie sicher, dass die IT-Richtlinienregel "Zurücksetzen des Sicherheits-Timer durch Apps zulassen" nicht
ausgewählt ist.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Secure Work Space-Kennwörter
Zum Schutz von Daten im geschäftlichen Bereich und gesicherten Apps muss bei Geräten mit Secure Work Space ein Kennwort
für den geschäftlichen Bereich eingerichtet werden. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen
wie Komplexität und Länge verwenden.
Im geschäftlichen Bereich wird nicht das Kennwort des geschäftlichen Bereichs gespeichert. Stattdessen verschlüsselt er
Daten mithilfe eines Hashs, der vom Kennwort als Verschlüsselungsschlüssel abgeleitet wird. Nachdem das Kennwort
festgelegt wurde, versucht der geschäftliche Bereich Daten mit dem aus dem Kennwort, das der Benutzer eingegeben hat,
abgeleiteten Hash zu entschlüsseln, wenn der Benutzer das Kennwort eingibt, um auf den geschäftlichen Bereich zuzugreifen.
Können die Daten nicht entschlüsselt werden, wird das Kennwort des Benutzers als falsch abgelehnt.
54
Verwalten der Gerätesicherheit mit BES12
Um das Zurücksetzen von Kennwörtern zu ermöglichen, generiert das Gerät einen öffentlichen und einen privaten Schlüssel,
verschlüsselt den abgeleiteten Schlüssel für den geschäftlichen Bereich mit dem privaten Schlüssel und speichert den
verschlüsselten Block unabhängig vom geschäftlichen Bereich. Das Gerät sendet den öffentlichen Schlüssel an BES12 und
löscht lokale Kopien der öffentlichen und privaten Schlüssel.
Wenn der Benutzer das Kennwort für den geschäftlichen Bereich ändert, generiert das Gerät den abgeleiteten Schlüssel
erneut. Ein Benutzer kann das Kennwort für den geschäftlichen Bereich jederzeit ändern, und ein Administrator das Kennwort
für den geschäftlichen Bereich mithilfe eines IT-Administrationsbefehls zurücksetzen und den Benutzer dazu veranlassen, es
zu ändern.
Wenn ein Administrator den IT-Administrationsbefehl zum Zurücksetzen des Kennworts für den geschäftlichen Bereich
verwendet, sendet BES12 den öffentlichen Schlüssel zurück an das Gerät. Das Gerät verwendet den öffentlichen Schlüssel, um
den abgeleiteten Schlüssel zu entschlüsseln. Außerdem muss der Benutzer ein neues Kennwort für den geschäftlichen Bereich
eingeben.
BES12 und die BlackBerry Infrastructure speichern nicht die Verschlüsselungsschlüssel des Benutzers.
Weitere Informationen über IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Timeout nach Inaktivität im geschäftlichen Bereich
Wenn eine gesicherte App von einem Nutzer in den Hintergrund geschickt wird, startet diese den Timer der
Inaktivitätsübergangsfrist für den geschäftlichen Bereich. Wenn der Benutzer während der Übergangsfrist eine andere
gesicherte App startet, muss der Benutzer das Kennwort für den geschäftlichen Bereich nicht eingeben. Sie können das
Timeout nach Inaktivität mittels der IT-Richtlinienregel "Zeitraum der Inaktivität vor dem Sperren" konfigurieren.
Weitere Informationen über diese IT-Richtlinienregel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Datenlöschung
Zum Schutz der Daten Ihres Unternehmens und der Benutzerinformationen auf dem Gerät können Sie mithilfe von BES12
geschäftliche Daten oder alle Daten von einem Gerät löschen.
Auch Benutzer können geschäftliche Daten oder alle Daten von ihren Geräten löschen.
Löschen aller Daten auf BlackBerry 10-Geräten
BlackBerry 10-Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:
55
Verwalten der Gerätesicherheit mit BES12
Ereignis
Gerätetyp
Sie senden den ITAdministrationsbefehl „Alle
Gerätedaten löschen“ an ein Gerät.
•
•
•
Beschreibung
Sie können BES12 verwenden, um alle Daten von den Geräten
mithilfe des IT-Administrationsbefehls „Alle Gerätedaten
löschen“ zu löschen. Sie können diesen Befehl beispielsweise
Reguliertes
an ein Gerät senden, um ein zuvor verwendetes Gerät erneut
BlackBerry
einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein
Balance
verloren gegangenes Gerät, das wahrscheinlich nicht
Nur geschäftlicher wiedergefunden wird.
Bereich
Mit diesem Befehl werden alle Benutzerinformationen und
App-Daten gelöscht, die auf dem Gerät gespeichert sind,
einschließlich Informationen im geschäftlichen Bereich und
Informationen auf der Medienkarte. Er setzt das Gerät auf die
Werkseinstellungen zurück und löscht das Gerät aus BES12.
BlackBerry
Balance
Nachdem Sie diesen Befehl gesendet haben, wird eine Option
zum Entfernen des Geräts aus BES12 angezeigt. Wenn das
Gerät keine Verbindung mehr zu BES12 herstellen kann,
können Sie das Gerät aus BES12 entfernen. Wenn das Gerät
eine Verbindung zu BES12 herstellt, nachdem es entfernt
wurde, werden nur die geschäftlichen Daten vom Gerät
entfernt. Falls zutreffend, wird auch der geschäftliche Bereich
entfernt.
Weitere Informationen zum Senden dieses Befehls finden Sie
in der Dokumentation für Administratoren.
Sie senden den ITAdministrationsbefehl „Nur
Geschäftsdaten löschen“ an ein
Gerät.
Nur geschäftlicher
Bereich
Sie können den IT-Administrationsbefehl „Nur
Geschäftsdaten löschen“ an ein Gerät, das nur über einen
geschäftlichen Bereich verfügt, senden, um alle Daten auf
diesem zu löschen. Da diese Geräte nur über einen
geschäftlichen Bereich verfügen, können Sie entweder den ITAdministrationsbefehle „Alle Gerätedaten löschen“ oder „Nur
Geschäftsdaten löschen“ verwenden, um Daten von diesen
Geräten zu löschen.
Wenn BES12 keine Verbindung mit dem Gerät herstellen
kann, weil es ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, sendet BES12 den Befehl, sobald das Gerät
eine Verbindung zu einem Netzwerk herstellt.
Weitere Informationen zum Senden dieses Befehls finden Sie
in der Dokumentation für Administratoren.
56
Verwalten der Gerätesicherheit mit BES12
Ereignis
Gerätetyp
Beschreibung
Es verstreicht mehr Zeit, ohne dass
das Gerät eine Verbindung zum
Netzwerk Ihres Unternehmens
herstellt, als die IT-Richtlinienregel
„Daten ohne Netzwerkverbindung
vom Gerät löschen“ erlaubt.
•
Reguliertes
BlackBerry
Balance
•
Das Gerät löscht alle Benutzerinformationen und App-Daten,
die auf dem Gerät gespeichert sind, einschließlich der
Informationen im geschäftlichen Bereich, und setzt das Gerät
auf die Werkseinstellungen zurück.
Nur geschäftlicher
Bereich
Sie können diese Regel verwenden, um das Gerät zu
veranlassen, alle Daten zu löschen, wenn es keine Updates
oder Befehle erhält.
Ein Gerät sendet einen
Integritätsalarm an BES12, und als
Erzwingungsaktion wird „Alle
Gerätedaten löschen“ eingestellt.
•
Reguliertes
BlackBerry
Balance
•
Wenn das BlackBerry 10 OS ein Problem mit der Integrität
eines Gerätes erkennt, warnt es BES12. Wenn ein
Integritätsalarm auftritt und „Alle Gerätedaten löschen“ als
Erzwingungsaktion eingestellt wird, werden alle Daten vom
Nur geschäftlicher
Gerät gelöscht.
Bereich
Ein Gerät sendet einen
Nur geschäftlicher
Integritätsalarm an BES12, und als Bereich
Erzwingungsaktion wird „Nur
Geschäftsdaten löschen“ eingestellt.
Ein Benutzer gibt das
•
Gerätekennwort öfter falsch ein, als
in der IT-Richtlinienregel „Maximale
•
Kennwortversuche“ zugelassen ist.
•
BlackBerry
Balance
Reguliertes
BlackBerry
Balance
Wenn das BlackBerry 10 OS ein Problem mit der Integrität
eines Gerätes erkennt, warnt es BES12.
Weil diese Geräte nur über einen geschäftlichen Bereich
verfügen, werden alle Daten vom Gerät gelöscht, wenn ein
Integritätsalarm auftritt und „Nur Geschäftsdaten löschen“ als
Erzwingungsaktion eingestellt wird.
Das Gerät löscht alle Benutzerinformationen und App-Daten,
die auf dem Gerät gespeichert sind, einschließlich der
Informationen im geschäftlichen Bereich, und setzt das Gerät
auf die Werkseinstellungen zurück.
Auf BlackBerry Balance- und regulierten BlackBerry BalanceNur geschäftlicher Geräten werden alle Daten vom Gerät gelöscht, wenn ein
Gerät über ein Kennwort für das gesamte Gerät verfügt und
Bereich
ein Benutzer das Gerätekennwort öfter falsch eingibt, als in
der IT-Richtlinienregel „Maximale Kennwortversuche“
zugelassen ist.
Auf Geräten, die nur über einen geschäftlichen Bereich
verfügen, werden alle Daten vom Gerät gelöscht, wenn ein
Benutzer das Gerätekennwort öfter falsch eingibt, als in der
IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen
ist.
Ein Benutzer verwendet die Option
„Sicherheitslöschung“ auf dem
Gerät.
•
BlackBerry
Balance
Ein Benutzer kann alle Daten auf Geräten mithilfe der Option
„Sicherheitslöschung“ in den Einstellungen „Sicherheit und
Datenschutz“ auf dem Gerät löschen.
57
Verwalten der Gerätesicherheit mit BES12
Ereignis
Ein Benutzer verwendet BlackBerry
Protect, um alle Gerätedaten zu
löschen.
Gerätetyp
Beschreibung
•
Reguliertes
BlackBerry
Balance
•
Nur geschäftlicher
Bereich
•
BlackBerry
Balance
Ein Benutzer kann auch BlackBerry Protect verwenden, um
Daten von einem Gerät zu löschen.
•
Reguliertes
BlackBerry
Balance
Benutzer können BlackBerry Protect nur dann verwenden,
wenn die IT-Richtlinienregel „BlackBerry Protect zulassen“
ausgewählt ist.
•
Nur geschäftlicher Weitere Informationen zu BlackBerry Protect finden Sie in der
Bereich
BlackBerry Protect-Hilfe.
BlackBerry 10-Geräte löschen alle Daten aus den geschäftlichen und persönlichen Bereichen, wenn ein Löschen aller Daten
eines Geräts stattfindet.
Datenfluss: Löschen aller Daten
Wenn alle Daten von einem BlackBerry 10-Gerät gelöscht werden, führt das Gerät die folgenden Aktionen aus:
1.
Das BlackBerry 10 OS überschreibt den Gerätespeicher mit Nullen.
2.
Das BlackBerry 10 OS führt einen sicheren TRIM-Vorgang für einen Abschnitt des Gerätespeichers aus. Aufgrund des
sicheren TRIM-Vorgangs löscht der Flash-Speicherchip den gesamten Speicher.
Vollständiges Löschen von Gerätedaten auf Geräten mit iOS, OS
X, Android oder Windows
Die Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Beschreibung
Sie senden den ITAdministrationsbefehl „Alle
Gerätedaten löschen“ (iOS-,
Android- oder Windows-Geräte)
oder „Alle Desktopdaten löschen“
(OS X-Geräte) an ein Gerät.
Sie können BES12 verwenden, um alle Daten von den Geräten mithilfe des ITAdministrationsbefehls „Alle Gerätedaten löschen“ oder „Alle Desktopdaten löschen“ zu
löschen. Sie können diesen Befehl beispielsweise an ein Gerät senden, um ein zuvor
verwendetes Gerät erneut einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein
verloren gegangenes Gerät, das wahrscheinlich nicht wiedergefunden wird.
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf
dem Gerät gespeichert sind (einschließlich Informationen im geschäftlichen Bereich, falls
58
Verwalten der Gerätesicherheit mit BES12
Ereignis
Beschreibung
zutreffend), das Gerät auf die Werkseinstellungen zurückgesetzt und das Gerät aus
BES12 entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts
aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann,
können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12
herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät
entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
Weitere Informationen zum Senden dieses Befehls an Geräte: Siehe Dokumentation für
Administratoren .
Ein Benutzer gibt häufiger das
Das Gerät löscht alle Benutzerinformationen und App-Daten, die auf dem Gerät
falsche Gerätekennwort ein, als es gespeichert sind, einschließlich der Informationen im geschäftlichen Bereich, und setzt
die IT-Richtlinienregeln zulassen. das Gerät auf die Werkseinstellungen zurück.
Bei Geräten mit den Aktivierungsarten „Geschäftlich und persönlich – BenutzerDatenschutz (Android for Work)“ und „Geschäftlich und persönlich – BenutzerDatenschutz (Android for Work – Premium)“ wird nur das geschäftliche Profil entfernt.
Ein Benutzer verwendet die Option Ein Benutzer kann alle Daten auf Geräten mit iOS oder höher mithilfe der Option „Alle
„Alle Inhalte und Einstellungen
Inhalte und Einstellungen löschen“ auf dem Gerät löschen.
löschen“ auf einem Gerät mit iOS.
Vollständiges Löschen geschäftlicher Daten von BlackBerry 10Geräten
Um die Daten Ihres Unternehmens auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten zu schützen, löschen
diese Geräte nur Geschäftsdaten, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Beschreibung
Sie senden den IT-Administrationsbefehl
„Nur Geschäftsdaten löschen“ an ein
Gerät.
Sie können BES12 verwenden, um alle geschäftlichen Daten von den Geräten
mithilfe des IT-Administrationsbefehls „Nur Geschäftsdaten löschen“ zu löschen.
Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn
ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät
verloren geht oder gestohlen wird.
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät
vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät
aus BES12 entfernt.
Die Informationen im geschäftlichen Bereich werden gelöscht und der
geschäftliche Bereich wird vom Gerät entfernt.
59
Verwalten der Gerätesicherheit mit BES12
Ereignis
Beschreibung
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des
Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12
herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine
Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die
geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der
geschäftliche Bereich entfernt.
Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im
geschäftlichen Bereich gelöscht wurden.
Weitere Informationen zum Senden dieses IT-Verwaltungsbefehls finden Sie in der
Dokumentation für Administratoren.
Ein Benutzer gibt das Kennwort für den
geschäftlichen Bereich öfter falsch ein,
als in der IT-Richtlinienregel „Maximale
Kennwortversuche“ zugelassen ist.
Die Informationen im geschäftlichen Bereich werden gelöscht und der
geschäftliche Bereich wird vom Gerät entfernt.
Ein Gerät stellt über einen längeren
Zeitraum keine Verbindung zum Netzwerk
Ihres Unternehmens her, als in der ITRichtlinienregel „Geschäftlichen Bereich
ohne Netzwerkverbindung löschen“
zugelassen ist.
Sie können die IT-Richtlinienregel „Geschäftlichen Bereich ohne
Netzwerkverbindung löschen“ verwenden, um die Anzahl der Stunden
festzulegen, die vergehen müssen, ohne dass ein Gerät keine Verbindung zum
Netzwerk Ihres Unternehmens herstellt, bevor das Gerät alle Daten im
geschäftlichen Bereich löscht.
Wenn das Kennwort für den geschäftlichen Bereich und das Gerätekennwort eines
Gerätes unterschiedlich sind, werden alle Daten, einschließlich des geschäftlichen
Bereichs, vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch
eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen
ist.
Sie können diese Regel verwenden, um das Gerät zu veranlassen, die Daten im
geschäftlichen Bereich zu löschen, wenn das Gerät keine Updates oder Befehle
von BES12 enthält.
Ein Gerät sendet einen Integritätsalarm
an BES12, und als Erzwingungsaktion
wird „Nur Geschäftsdaten löschen“
eingestellt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt,
warnt es BES12. Wenn ein Integritätsalarm auftritt und „Nur Geschäftsdaten
löschen“ als Erzwingungsaktion eingestellt wird, wird der geschäftliche Bereich
gelöscht.
Ein BlackBerry Balance-Gerät senden
einen Integritätsalarm an BES12, und als
Erzwingungsaktion wird „Alle Gerätedaten
löschen“ eingestellt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt,
warnt es BES12. Wenn ein Integritätsalarm auf einem BlackBerry Balance-Gerät
auftritt und „Alle Gerätedaten löschen“ als Erzwingungsaktion eingestellt wird,
wird nur der geschäftliche Bereich gelöscht.
Ein Benutzer verwendet die Option
„Geschäftlichen Bereich löschen“ in den
Benutzer können den geschäftlichen Bereich auch mithilfe der Option
„Geschäftlichen Bereich löschen“ in den „BlackBerry Balance“-Einstellungen von
ihren Geräten löschen.
60
Verwalten der Gerätesicherheit mit BES12
Ereignis
Beschreibung
Einstellungen „BlackBerry Balance“ auf
dem Gerät.
Wenn Sie oder ein Benutzer alle Daten aus dem geschäftlichen Bereich auf einem Gerät löschen, weist das BlackBerry 10 OS
das Dateisystem an, alle Verzeichnisse und Dateien im geschäftlichen Dateisystem zu löschen. Alle Dateien, die im Dateisystem
verbleiben, bleiben verschlüsselt. Die Entschlüsselungsschlüssel sind für das Dateisystem nicht zugänglich.
Geschäftliche Daten wurden vollständig von BlackBerry 10-Geräten gelöscht
Wenn nur die geschäftlichen Daten von einem BlackBerry Balance-Gerät oder einem regulierten BlackBerry Balance-Gerät
gelöscht wurden, verbleiben die gesamten persönlichen Daten auf dem Gerät. Sie können dies beispielsweise tun, wenn ein
Benutzer nicht mehr in Ihrem Unternehmen arbeitet.
In der folgenden Tabelle werden Beispiele von Daten aufgelistet, die entfernt werden, wenn alle Daten aus dem geschäftlichen
Bereich eines Geräts gelöscht werden:
Objekt
Beschreibung
Geschäftliche E-Mail-Nachrichten
•
E-Mail-Nachrichten, die an das geschäftliche E-Mail-Konto des Benutzers gesendet
werden, und E-Mail-Nachrichten, die der Benutzer von seinem geschäftlichen EMail-Konto sendet
•
Entwürfe von E-Mail-Nachrichten, die der Benutzer mit seinem geschäftlichen EMail-Konto erstellt
•
Anlagen, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden,
und Anlagen, die der Benutzer von seinem geschäftlichen E-Mail-Konto sendet
•
Anlagen, die der Benutzer im geschäftlichen Bereich speichert
Anlagen
Kalendereinträge
Kalendereinträge, die der Benutzer mithilfe seines Geschäftskalenders erstellt
Kontakte
Kontakte, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert
BlackBerry Remember
Alle Aufgaben und Notizen, die BES12 mit dem geschäftlichen E-Mail-Konto des
Benutzers synchronisiert
Browser
Alle geschäftlichen Browserdaten
Dateien
Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen
und die er heruntergeladen hat
IT-Richtlinie
IT-Richtlinie, die Ihrem Unternehmen zugewiesen ist
61
Verwalten der Gerätesicherheit mit BES12
Objekt
Beschreibung
Schlüssel zum Gerätetransport
Verweise auf den Schlüssel zum Gerätetransport, der das Gerät von der Kommunikation
mit BES12 abhält
Geschäftliche Apps
Geschäftliche Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat
Daten geschäftlicher Apps
Geschäftliche Daten sind mit den geschäftlichen Apps auf dem Gerät verknüpft
Geschäftliche Wi-Fi-Profile
Geschäftliche Wi-Fi-Profile auf dem Gerät
Geschäftliche VPN-Profile
Geschäftliche VPN-Profile auf dem Gerät
Geschäftliche Daten vollständig von iOS-, OS X-, Android- und
Windows-Geräten löschen
Um die Daten Ihres Unternehmens auf Geräten zu schützen, löschen die Geräte alle geschäftlichen Daten, wenn Sie den ITVerwaltungsbefehl "Nur geschäftliche Daten löschen" an ein Gerät senden. Sie können diesen Befehl beispielsweise an ein
persönliches Gerät senden, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät verloren geht
oder gestohlen wird.
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und
Zertifikate, gelöscht und das Gerät wird bei Bedarf aus BES12 entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät
keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine
Verbindung zu BES12 herstellt, nachdem Sie es entfernen, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls
zutreffend, wird auch der geschäftliche Bereich entfernt.
Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im geschäftlichen Bereich gelöscht wurden.
Weitere Informationen zum Senden dieses Befehls an Geräte finden Sie in der Dokumentation für Administratoren.
Secure Work Space von Geräten mit iOS und Android löschen
Wenn Sie Secure Work Space von einem Gerät löschen, müssen Sie keine zusätzlichen Schritte vornehmen, um die
Wiederherstellung von Daten zu verhindern. Ohne Verschlüsselungsschlüssel ist der Zugriff auf wiederhergestellte Daten
kryptografisch unmöglich.
Wenn der geschäftliche Bereich gelöscht wird und das Gerät zum Zeitpunkt der Löschung verbunden war, werden auch Daten
des geschäftlichen Bereichs von Medienkarten gelöscht.
Beim Löschen von Secure Work Space werden geschäftliche Daten vollständig gelöscht.
Wenn Sie Secure Work Space von einem iOS- und Android-Gerät löschen, werden alle geschäftlichen Daten gelöscht.
62
Verwalten der Gerätesicherheit mit BES12
In der folgenden Tabelle werden Beispiele für Daten aufgeführt, die entfernt werden, wenn der geschäftliche Bereich auf
Geräten gelöscht wird:
Objekt
Beschreibung
Geschäftliche E-Mail-Nachrichten
•
E-Mail-Nachrichten, die an die E-Mail-App des Benutzers im geschäftlichen Bereich
gesendet werden
•
E-Mail-Nachrichten, die der Benutzer von der E-Mail-App im geschäftlichen Bereich
sendet
•
Entwürfe von E-Mail-Nachrichten, die der Benutzer mithilfe der E-Mail-App im
geschäftlichen Bereich erstellt
•
Anlagen, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet
werden
•
Anlagen, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet
•
Anlagen, die der Benutzer im geschäftlichen Bereich speichert
Anlagen
Kalendereinträge
Kalendereinträge, die der Benutzer mithilfe der Kalender-App im geschäftlichen Bereich
erstellt
Kontakte
Kontakte, die BES12 mit der Kontakte-App des Benutzers im geschäftlichen Bereich
synchronisiert
Aufgaben und Notizen
Alle Aufgaben und Notizen, die BES12 mit der Aufgaben- und Notizen-App des Benutzers
im geschäftlichen Bereich synchronisiert
Browser
Alle Work Browser-Daten
Dateien
Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen
und die er heruntergeladen hat
IT-Richtlinie
IT-Richtlinie, die dem Gerät zugeordnet ist
Geschäftliche Apps
Bei einem iOS-Gerät: geschäftliche Apps, die der Administrator an ein Gerät gesendet hat
Daten geschäftlicher Apps
Bei einem iOS-Gerät: geschäftliche Daten, die im Zusammenhang mit geschäftlichen
Apps auf dem Gerät stehen (z. B. gespeicherte Einstellungen)
Gesicherte Apps
Bei einem iOS-Gerät: gesicherte Apps, die ein Benutzer heruntergeladen und auf einem
Gerät installiert hat.
Bei einem Android-Gerät wird der Benutzer aufgefordert, die gesicherten Apps zu
entfernen. Wenn der Benutzer die gesicherten Apps nicht entfernt, bleiben diese auf dem
Gerät, der Benutzer kann sie aber nicht ausführen.
63
Verwalten der Gerätesicherheit mit BES12
Objekt
Beschreibung
Daten im geschäftlichen Bereich
Bei einem iOS-Gerät: Daten im geschäftlichen Bereich, die im Zusammenhang mit
gesicherten Apps auf dem Gerät stehen.
Bei einem Android-Gerät wird der Benutzer aufgefordert, die Daten im geschäftlichen
Bereich zu entfernen (z. B. gespeicherte Einstellungen). Wenn der Benutzer die Daten im
geschäftlichen Bereich nicht entfernt, bleiben diese auf dem Gerät, der Benutzer kann
aber nicht auf die Daten zugreifen.
Profile
Bei einem iOS-Gerät: VPN, Wi-Fi, E-Mail, SCEP, Zertifizierungsstellenzertifikat,
freigegebenes Zertifikat, einmalige Anmeldung und Profile für verwaltete Domänen.
Bei einem Android-Gerät: Wi-Fi, E-Mail, Zertifizierungsstellenzertifikat und Profile für
freigegebene Zertifikate.
Sicherstellen der Kompatibilität auf Geräten
Sie können Kompatibilitätsprofile verwenden, um Gerätebenutzer bei der Einhaltung der in Ihrer Organisation in Bezug auf die
Verwendung von BlackBerry 10-, iOS-, Android- und Windows Phone-Geräten festgelegten Standards zu unterstützen. Ein
Kompatibilitätsprofil definiert die Gerätebedingungen, die in Ihrer Organisation nicht akzeptabel sind.
Abhängig vom Betriebssystem und der Version können Sie festlegen, ob folgende Bedingungen zulässig sind:
•
Entsperrte oder gehackte Geräte
•
Eingeschränkte Version der Gerätesoftware ist installiert
•
Nicht zugewiesene oder eingeschränkte App ist installiert
•
Eine erforderliche App wurde nicht installiert
Ein Kompatibilitätsprofil legt die folgenden Informationen fest:
•
Bedingungen, aufgrund derer ein Gerät mit BES12 nicht kompatibel ist
•
Benachrichtigungen, die die Benutzer erhalten, wenn ein Gerät die Kompatibilitätsbedingungen verletzt und die
Zeitdauer, die Benutzern zur Behebung des Problems zur Verfügung steht
•
Eine Aktion, die vorgenommen wird, wenn der Benutzer das Problem nicht behebt, einschließlich der Einschränkung
des Benutzerzugriffs auf die Ressourcen der Organisation, Löschen geschäftlicher Daten auf dem Gerät oder Löschen
aller Daten auf dem Gerät
Weitere Informationen über Kompatibilitätsprofile finden Sie in der Dokumentation für Administratoren.
64
Verwalten der Gerätesicherheit mit BES12
Sicherstellen der BlackBerry 10-Geräteintegrität
Das BlackBerry 10 OS überprüft die Integrität des Kernels und des Dateisystems. Wenn BlackBerry 10 OS ein Problem
feststellt, sendet es eine Warnmeldung an BES12. Sie können die Integritätsalarm-Einstellungen im Kompatibilitätsprofil
festlegen, um die Aktionen zu steuern, die BES12 ausführen würde, wenn eine der Integritätsprüfungen fehlschlägt.
Mögliche Aktionen sind z. B. das Gerät unter Quarantäne zu stellen, sodass es nicht auf geschäftliche Ressourcen zugreifen
kann, den Benutzer per E-Mail oder Gerätebenachrichtigung zu benachrichtigen und Geschäftsdaten oder alle Daten des
Geräts zu löschen.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Geräte mit Secure Work Space vor dem Entsperren und Hacken
schützen
iOS
Bei iOS-Geräten schützt Secure Work Space gegen Jailbreaking. Secure Work Space führt Standardprüfungen an Pfadnamen
und gemeinsamen Dateien durch sowie zusätzliche Überprüfungen, z. B. Tests, ob Privilegien eskaliert werden können, indem
Prozesse verzweigt und Systemaufrufe ausgeführt werden.
Gesicherte Apps führen Überprüfungen des in Verarbeitung befindlichen Speichers durch, um Jailbreak-Signaturen in Echtzeit
zu identifizieren und eine robuste Verteidigung gegen alle Entsperrformen bereitzustellen. Überprüfungen des in Verarbeitung
befindlichen Speichers werden durch verschiedene Mechanismen geschützt, damit verhindert wird, dass die Algorithmen nicht
eingehalten werden. Zum Beispiel werden Überprüfungen über den ganzen Code verteilt und schließen Ablenkungsmanöver
und sonstige Verteidigungstaktiken ein.
Jailbreak-Überprüfungen werden während der Ausführung gesicherter Apps durchgeführt. Verliert ein Benutzer ein Gerät und
ein Angreifer entsperrt das Gerät, schützt die Verschlüsselung des geschäftlichen Bereichs die Daten im geschäftlichen
Bereich, sodass Angriffe, bei denen z. B. Bit-Kopien von persistentem Speicher erstellt werden, nicht möglich sind.
Zum Ausführen von Secure Work Space auf einem entsperrten iOS-Gerät müssen Sie den Zustand des Geräts vor dem
Jailbreak-Angriff wiederherstellen.
Android Betriebssystem
Bei Android-Geräten verwendet der Secure Work Space die MDM-APIs des Geräteherstellers, um herauszufinden, ob das Gerät
gehackt wurde, sowie weitere Nachweismethoden, die für Secure Work Space spezifisch sind. Die Überprüfungen werden in
der Reihenfolge der Wahrscheinlichkeit ausgeführt und stoppen, wenn erkannt wird, dass das Gerät gehackt wurde. Die
Nachweismethoden des Geräteherstellers werden über ein Partnerprogramm lizenziert und stehen nicht öffentlich zur
Verfügung.
Zum Ausführen von Secure Work Space auf einem gehackten Android-Gerät müssen Sie den Zustand des Geräts vor dem
Hacking-Angriff wiederherstellen.
65
Verwalten der Gerätesicherheit mit BES12
Verhindern der Installation spezifischer Apps durch die
Benutzer
Sie können eine Liste von iOS-, Android- und Windows Phone-Apps erstellen, die von Benutzern nicht auf ihren Geräten
installiert werden sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen
verbrauchen, zu installieren.
Um eine bestimmte Aktion zu erzwingen, wenn eine gesperrte App auf einem iOS- oder Android-Gerät installiert wird, das
Samsung KNOX nicht verwendet, müssen Sie ein Kompatibilitätsprofil erstellen und dieses Benutzern oder Benutzergruppen
zuweisen. Das Kompatibilitätsprofil gibt an, welche Aktionen ausgeführt werden, wenn der Benutzer die gesperrte App nicht
vom Gerät löscht. Wenn der Benutzer eine gesperrte App installiert, meldet das Gerät des Benutzers, dass diese App nicht
kompatibel ist, und der Name der gesperrten App sowie die Aktionen, die ausgeführt werden, wenn die App nicht deinstalliert
wird, werden im Kompatibilitätsbericht angezeigt.
Bei Windows Phone 8.1-Geräten oder höher sowie Geräten mit Samsung KNOX müssen Sie die App lediglich dem
Kompatibilitätsprofil hinzufügen und keine Kompatibilitätsaktionen festlegen. Grund dafür ist, dass der Benutzer daran
gehindert wird, Apps zu installieren, die Sie dem Kompatibilitätsprofil hinzufügen. Wenn ein Benutzer versucht, eine gesperrte
App zu installieren, wird eine Meldung auf dem Gerät angezeigt, dass diese App gesperrt ist und nicht installiert werden kann.
Wenn eine gesperrte App bereits installiert wurde, wird diese deaktiviert.
Sie müssen keine Liste mit gesperrten Apps für BlackBerry 10- und Android-Geräte mit Android for Work erstellen, da Benutzer
nur von Ihnen zugelassene Apps im geschäftlichen Bereich installieren können. Wenn eine gesperrte App bereits auf einem
Gerät installiert wurde, wird diese nicht deaktiviert.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Verwandte Informationen
Kontrolle von persönlichen Apps auf Geräten, auf Seite 36
Bestimmen des Standorts von Geräten
Sie können ein Standortdienst-Profil zum Auffinden von verlorenen oder gestohlenen iOS-, Android- und Windows 10 MobileGeräten erstellen. Sie können die aktuellen Standorte von Geräten auf einer Karte in der Verwaltungskonsole anzeigen und
Benutzern ermöglichen, ihre eigenen Geräte auf einer Karte in BES12 Self-Service anzuzeigen. Bei iOS- und Android-Geräten
können Sie auch den Verlauf des Gerätestandorts protokollieren. Weitere Informationen zur Standortbestimmung von Geräten
finden Sie in der Dokumentation für Administratoren.
Benutzer von BlackBerry 10 Geräten können auch BlackBerry Protect zum Auffinden der Geräte verwenden. Weitere
Informationen zu BlackBerry Protect finden Sie in der BlackBerry Protect-Hilfe. Sie können eine IT-Richtlinienregel erstellen,
die BlackBerry Protect deaktiviert.
66
Verwalten der Gerätesicherheit mit BES12
Verwenden von IT-Richtlinien für die
Geräteverwaltung
Eine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten eingeschränkt oder zugelassen
werden. Mithilfe von IT-Richtlinienregeln können die Sicherheit und das Verhalten von Geräten verwaltet werden. Das
Betriebssystem des Geräts bestimmt über die Liste der Funktionen, die mit IT-Richtlinien gesteuert werden können, und die
Aktivierungsart des Geräts bestimmt, welche Regeln einer IT-Richtlinie für ein bestimmtes Gerät gelten.
Es kann einem Benutzerkonto nur eine IT-Richtlinie zugewiesen werden, und die zugewiesene IT-Richtlinie wird an alle Geräte
des Benutzers gesendet. Wenn Sie einem Benutzerkonto oder einer Gruppe, der ein Benutzer oder ein Gerät angehört, keine ITRichtlinie zuweisen, sendet BES12 die standardmäßige IT-Richtlinie an die Geräte des Benutzers.
Sie können den IT-Richtlinien einen Rang zuweisen, um anzugeben, welche Richtlinie an die Geräte gesendet werden soll,
wenn ein Benutzer oder ein Gerät Mitglied von zwei oder mehr Gruppen ist, die unterschiedliche IT-Richtlinien aufweisen, und
keine der IT-Richtlinien dem Benutzerkonto direkt zugewiesen ist.Der BES12 sendet die ranghöchste IT-Richtlinie an die Geräte
des Benutzers.
BES12 sendet IT-Richtlinien automatisch an Geräte, wenn ein Benutzer ein Gerät aktiviert, eine zugewiesene IT-Richtlinie
aktualisiert wird und wenn einem Benutzer oder einer Benutzergruppe eine andere IT-Richtlinie zugewiesen wird. Wenn ein
Gerät eine neue oder aktualisierte IT-Richtlinie empfängt, wendet das Gerät die Konfigurationsänderungen nahezu in Echtzeit
an.
Geräte ignorieren Regeln einer IT-Richtlinie, die nicht für sie gelten. Zum Beispiel ignorieren BlackBerry 10-Geräte, die nur über
einen geschäftlichen Bereich verfügen, Regeln, die nur für BlackBerry Balance-Geräte oder Geräte mit anderen
Betriebssystemen gelten.
Weitere Informationen über die Zuweisung und Priorisierung von IT-Richtlinien finden Sie in der Dokumentation für
Administratoren.
Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Einschränken und Zulassen von Gerätefunktionen
Indem Sie IT-Richtlinienregeln konfigurieren, können Sie Gerätefunktionen oder Funktionen des geschäftlichen Bereichs
einschränken oder zulassen. Die für jeden Gerätetyp zur Verfügung stehenden IT-Richtlinienregeln sind von Betriebssystem und
Version des Gerätes sowie von zusätzlichen Optionen von Secure Work Space, Samsung KNOX und Android for Work abhängig.
Je nach Betriebssystem des Geräts und Aktivierungsart können Sie mit IT-Richtlinienregeln Folgendes kontrollieren:
•
Kennwortanforderungen des Geräts und des geschäftlichen Bereichs
•
Gerätefunktionen wie Kamera oder Standortdienste
•
Verbindungen über die drahtlose Bluetooth-Technologie oder NFC
•
Verfügbarkeit bestimmter Apps
67
Verwalten der Gerätesicherheit mit BES12
Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuern von BlackBerry 10-Gerätefunktionen
BlackBerry 10-Geräte unterstützen eine umfangreiche Liste von IT-Richtlinienregeln zur Kontrolle der Gerätefunktionen. Zum
Beispiel können folgende Funktionen auf allen BlackBerry 10-Geräten durch IT-Richtlinienregeln deaktiviert werden:
•
Roaming
•
Sprachsteuerung
•
Tethering und mobiler Hotspot
•
Rechnungen des Mobilfunkanbieters für Käufe in der BlackBerry World
Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie eine
Vielzahl von Funktionen aktivieren oder deaktivieren. Beispiel:
•
Standortbestimmung
•
Medienkarte
•
Kamera
•
UKW-Radio
•
Mobile Netzwerkverbindungen
•
Freisprechen
•
Sprachaufzeichnung
•
Wi-Fi
•
HDMI
•
NFC
•
Bluetooth
•
SMS/MMS
•
BBM
•
BlackBerry Protect
Weitere Informationen über die IT-Richtlinienregeln, die diese Funktionen steuern, finden Sie in der Richtlinien-Referenztabelle
unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/
Steuern von BlackBerry 10 OS-Software-Updates
Benutzer können ihre Gerätesoftware standardmäßig durch das Herunterladen von BlackBerry 10 OS-Updates über das
drahtlose Netzwerk aktualisieren. Benutzer können alle Softwareupdates herunterladen, die durch BlackBerry oder einen
Dienstanbieter bereitgestellt werden.
68
Verwalten der Gerätesicherheit mit BES12
Für reglementierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können Sie
eine IT-Richtlinienregel verwenden, um Benutzer auf das ausschließliche Herunterladen von sicherheitsrelevanten SoftwareUpdates über das WLAN-Netzwerk, das von BlackBerry oder dem Mobilfunkanbieter zur Verfügung gestellt wird, zu
beschränken oder zu verhindern, dass Benutzer Software-Updates über das drahtlose Netzwerk herunterladen.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuerung der BlackBerry 10-Protokollsynchronisierung mit BES12
Standardmäßig synchronisieren regulierte BlackBerry Balance-Geräte und Geräte nur mit geschäftlichem Bereich
Protokolldateien für BBM, Telefon, SMS, MMS, PIN und BBM Video-Chatfunktionen nicht mit dem BES12.
Wenn Sie einen oder mehrere dieser Kommunikationspfade protokollieren müssen, können Sie dies mithilfe der folgenden ITRichtlinienregeln tun:
•
BBM-Protokolle synchronisieren
•
Telefonprotokolle synchronisieren
•
PIN-zu-PIN-Protokolle synchronisieren
•
SMS/MMS-Protokolle synchronisieren
•
Videochat-Protokolle synchronisieren
Wenn Sie diese Kommunikationspfade für regulierte BlackBerry Balance-Geräte protokollieren, enthalten die Protokolldateien
sowohl Geschäfts- als auch private Daten.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Kontrolle von Verbindungen auf BlackBerry 10-Geräten
Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig
verschiedene Verbindungen herstellen. Sie können die folgenden IT-Richtlinienregeln verwenden, um Verbindungen zu steuern:
•
Bluetooth zulassen
•
Hotspot-Browser zulassen
•
Miracast zulassen
•
NFC zulassen
•
Vom Benutzer erstelle VPN-Profile zulassen
•
Wi-Fi zulassen
Wenn Sie eine dieser Verbindungen auf regulierten BlackBerry Balance-Geräten nicht zulassen, wird diese sowohl für den
persönlichen als auch für den geschäftlichen Bereich nicht zugelassen.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
69
Verwalten der Gerätesicherheit mit BES12
Übertragen von geschäftlichen Dateien von Geräten mit Bluetooth
Mithilfe der drahtlosen Bluetooth-Technologie können Benutzer drahtlose Verbindungen zwischen einem BlackBerry Balanceoder einem regulierten BlackBerry Balance-Gerät und anderen Bluetooth-fähigen Geräten herstellen. Benutzer müssen eine
Kopplung mit einem anderen Bluetooth-Gerät anfordern und einen Kennschlüssel verwenden, um die Kopplung einzurichten.
Das Gerät zeigt den Benutzern jedes Mal eine Aufforderung an, wenn ein Bluetooth-fähiges Gerät versucht, eine Verbindung mit
den Geräten herzustellen.
Standardmäßig können Benutzer Dateien, Kontakte und Nachrichten aus dem geschäftlichen Bereich auf Geräten an
Bluetooth-fähige Geräte, die sie erfolgreich gekoppelt haben, übertragen.
Sie können die folgenden IT-Richtlinienregeln anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere
Bluetooth-fähige Geräte übertragen:
IT-Richtlinienregel
Beschreibung
Das Übertragen geschäftlicher
Dateien mithilfe von BluetoothOPP oder einer Wi-Fi DirectVerbindung zulassen
Geräte verwenden das Bluetooth-OPP, um andere Objekte an andere Bluetooth-fähige
Geräte zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen
Dateien über Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen" anwenden, um
zu verhindern, dass Benutzer das Bluetooth-OPP anwenden, um geschäftliche Dateien
und Objekte wie Kontakte an andere Bluetooth-fähige Geräte zu senden. Geräte
verwenden außerdem das Bluetooth-OPP, um geschäftliche Dateien in einem
Dateiformat (zum Beispiel Bilder oder Dokumente) mithilfe von NFC zu teilen. Wenn die
IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mithilfe einer Bluetooth-OPP
oder einer Wi-Fi Direct-Verbindung zulassen" nicht aktiviert ist, können Benutzer keine
geschäftlichen Dateien in einem Dateiformat teilen. Sie können die IT-Richtlinienregel
"Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden, um zu
verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC
senden.
Übertragen von
Geräte verwenden das Bluetooth-PBAP und das Bluetooth-HFP, um Kontakte an ein
Geschäftskontakten mit Bluetooth- anderes Bluetooth-fähige Gerät zu senden. Sie können die IT-Richtlinienregel
PBAP oder -HFP zulassen
"Übertragen von geschäftlichen Kontakten über Bluetooth PBAP HFP zulassen"
anwenden, um zu verhindern, dass Benutzer Bluetooth-PBAP und Bluetooth-HFP
anwenden, um geschäftliche Kontakte an ein anderes Bluetooth-fähiges Gerät zu senden.
Wenn Sie diese Regel nicht auswählen, können Geräte das Bluetooth-MAP auch nicht
verwenden, um geschäftliche Nachrichten an ein anderes Bluetooth-fähiges Gerät zu
senden.
Übertragen von geschäftlichen
Nachrichten mit Bluetooth-MAP
zulassen
Geräte verwenden Bluetooth-MAP, um Nachrichten an andere Bluetooth-fähige Geräte
zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen
Nachrichten mit Bluetooth-MAP zulassen" anwenden, um zu verhindern, dass Benutzer
Bluetooth-MAP verwenden, um Nachrichten vom geschäftlichen Bereich (zum Beispiel EMail-Nachrichten und Sofortnachrichten) an ein anderes Bluetooth-fähiges Gerät
senden. Wenn Sie nicht die IT-Richtlinienregel "Übertragen von geschäftlichen Kontakten
70
Verwalten der Gerätesicherheit mit BES12
IT-Richtlinienregel
Beschreibung
mit Bluetooth-PBAP oder HFP zulassen" anwenden, können Benutzer keine
geschäftlichen Nachrichten an ein anderes Bluetooth-fähiges Gerät mithilfe von
Bluetooth-MAP senden, unabhängig davon, ob die IT-Richtlinienregel "Übertragen von
geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" ausgewählt ist oder nicht.
Standardmäßig kann der Benutzer bei Auswahl der IT-Richtlinienregel "Übertragen von
geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" geschäftliche Nachrichten an
ein Bluetooth-fähiges Gerät mithilfe von Bluetooth-MAP übertragen, nachdem er einmal
das Kennwort für den Eintritt in den geschäftlichen Bereich eingegeben hat. Wenn ein
Benutzer den geschäftlichen Bereich jedes Mal wieder neu entsperren soll, wenn das
Gerät eine Verbindung zum Bluetooth-fähigen Gerät aufbaut und bevor es geschäftliche
Nachrichten mithilfe von Bluetooth-MAP übertragen kann, so wählen Sie die ITRichtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP
zulassen" nicht aus.
Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit Bluetooth
aufbauen.
Steuern von Bluetooth auf Geräten
Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig
Bluetooth-Verbindungen herstellen. Sie verfügen über eine Reihe von Optionen zum Steuern von Bluetooth-Verbindungen und
zum Steuern einiger der Kriterien, die ein Gerät verwenden muss, wenn es sich mit einem anderen Gerät verbindet.
Option
IT-Richtlinienregel
Beschreibung
Verhindern, dass ein Gerät BluetoothVerbindungen herstellt
Bluetooth zulassen
Wenn Sie Bluetooth-Verbindungen auf
einem Gerät zulassen, kann der
Benutzer Bluetooth dennoch mithilfe der
Geräteeinstellungen ausschalten.
Verhindern, dass ein Gerät den
erkennbaren Bluetooth-Modus
verwendet
Erkennbaren Bluetooth-Modus zulassen Ein erkennbares Gerät kann von anderen
Bluetooth-fähigen Geräten im Bereich
des Geräts aufgefunden werden. Wenn
Sie den erkennbaren Modus auf einem
Gerät zulassen, kann der Benutzer
diesen dennoch mithilfe der
Geräteeinstellungen ausschalten.
Verhindern, dass ein Gerät mit Bluetooth Bluetooth-Kopplung zulassen
und aktiviertem erkennbaren Modus
neue Verbindungen mit anderen Geräten
herstellt
71
Wenn ein Gerät eine Verbindung zu
anderen Geräten hergestellt hat, können
Sie diese Regel verwenden, um zu
Verwalten der Gerätesicherheit mit BES12
Option
IT-Richtlinienregel
Beschreibung
verhindern, dass es eine Verbindung zu
weiteren Geräten herstellt.
Verhindern, dass ein Gerät kurze
Kennschlüssel annimmt
Eine Mindestlänge für den BluetoothKennschlüssel durchsetzen
Standardmäßig kann ein Gerät eine
Verbindung zu einem anderen Gerät
herstellen, wenn der Kennschlüssel, den
das andere Gerät anfordert oder
bereitstellt, weniger als 8 Ziffern beträgt.
Die Mindestlänge des
Mindestlänge des BluetoothVerschlüsselungsschlüssels steuern, den Verschlüsselungsschlüssels
Geräte zur Verschlüsselung von
Bluetooth-Verbindungen verwenden
Standardmäßig muss ein Gerät eine
Mindestlänge des
Verschlüsselungsschlüssels von 1 Byte
verwenden.
Voraussetzen, dass Geräte den Modus
für den numerischen Vergleich nutzen,
um eine Verbindung zu einem anderen
Gerät herzustellen
Wenn Geräte Bluetooth-SSP verwenden,
um eine Verbindung zu einem anderen
Gerät herzustellen, auf dem BluetoothVersion 2.1 und höher ausgeführt wird,
können Sie voraussetzen, dass Geräte
den numerischen Vergleich für die
Verbindung verwenden.
Numerischen Bluetooth-SSP-Vergleich
erzwingen
Standardmäßig müssen Geräte den
Modus für den numerischen Vergleich
nicht verwenden.
Steuern, welche Bluetooth-Profile
verfügbar sind
•
•
•
•
Geräte nutzen Bluetooth-Profile, um mit
anderen Bluetooth-fähigen Geräten zu
Bluetooth AVRCP zulassen
kommunizieren, und führen Aufgaben
Bluetooth-Kontaktübertragung aus, wie z. B. Audio-Dateien auf andere
über PBAP zulassen
Geräte streamen oder anderen Geräten
Bluetooth-Dateiübertragung
erlauben, auf bestimmte Datentypen
über OBEX zulassen
zuzugreifen.
Bluetooth A2DP zulassen
•
Bluetooth-HFP zulassen
•
Bluetooth-MAP zulassen
•
Bluetooth-PAN-Profil zulassen
•
Bluetooth-SPP zulassen
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
72
Verwalten der Gerätesicherheit mit BES12
Verwalten von Datentransfer auf ein Gerät/von einem Gerät mithilfe von NFS
Dateien, die BlackBerry Balance- und regulierte BlackBerry Balance-Geräte von anderen Geräten mithilfe von NFS empfangen,
werden im Allgemeinen als persönliche Daten klassifiziert. Wenn jedoch eine geschäftliche App ein für die geschäftliche APP
spezifisches NFC-Tagformat unterstützt, werden die von einem Gerät empfangenen Dateien mit diesem NFC-Tag als
geschäftliche Daten klassifiziert.
Standardmäßig können Geräte NFC verwenden, um geschäftliche Dateien zu anderen NFC-fähigen Geräten zu übertragen. Sie
können zulassen oder verhindern, dass Benutzer geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder
Dokumente) mithilfe von NFC teilen, indem Sie die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mit Bluetooth
OPP zulassen" anwenden. Unabhängig davon, wie diese IT-Richtlinienregel festgelegt wurde, können Geräte NFC verwenden,
um bestimmte MIME- oder URI-Dateitypen zu senden, wie zum Beispiel Webadressen und Telefonnummern an andere NFCfähige Geräte. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden,
um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden.
Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit NFC aufbauen.
Verwalten, wie Geräte Smartcards verwenden
Sie können die folgenden IT-Richtlinienregeln verwenden, um zu steuern, wie Geräte Smartcards verwenden. Die verfügbaren
IT-Richtlinienregeln hängen von der Aktivierungsart ab:
IT-Richtlinienregel
Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung
nur für geschäftlichen Bereich
Anforderungen
Sie können diese Regel verwenden, um zu
bestimmen, ob Zwei-Faktor-Authentifizierung
erforderlich, zugelassen oder nicht zugelassen
sein soll.
•
Reguliertes BlackBerry BalanceGerät
•
Gerät, das nur über einen
geschäftlichen Bereich verfügt
•
BlackBerry 10 OS (Version 10.3 und
höher)
•
Über diese IT-Richtlinienregel können Sie
angeben, ob Benutzer auch das Kennwort für
den geschäftlichen Bereich eingeben
Gerät, das nur über einen
müssen, um den geschäftlichen Bereich zu
geschäftlichen Bereich verfügt
entsperren, oder ob dafür nur die Smartcard
BlackBerry 10 OS (Version 10.3 und und das Smartcard-Kennwort erforderlich
höher)
sind.
•
•
Zwei-Faktor-Authentifizierung
für geschäftliche Zwecke
zuweisen
Beschreibung
•
Reguliertes BlackBerry BalanceGerät
Reguliertes BlackBerry BalanceGerät
73
Wenn Zwei-Faktor-Authentifizierung
eingeschaltet wird, können Sie diese Regel
verwenden, um zu bestimmen, ob Zwei-
Verwalten der Gerätesicherheit mit BES12
IT-Richtlinienregel
Caching von SmartcardKennwörtern
Kennworteingabe für
Smartcard
Anforderungen
•
BlackBerry 10 OS (Version 10.3 und Faktor-Authentifizierung verwendet werden
kann, um den geschäftlichen Bereich, das
höher)
Gerät oder beides zu entsperren.
•
BlackBerry Balance-Geräte
•
Reguliertes BlackBerry BalanceGerät
•
Gerät, das nur über einen
geschäftlichen Bereich verfügt
•
BlackBerry 10 OS (Version 10.3 und
höher)
•
Sie können diese Regel verwenden, um zu
bestimmen, ob ein Gerät die
Reguliertes BlackBerry BalanceKennworteingabe für Smartcard mit ZweiGerät
Faktor-Authentifizierung verwenden kann. Die
Gerät, das nur über einen
Kennworteingabe für Smartcard ermöglicht
geschäftlichen Bereich verfügt
einem Benutzer, numerische Kennwörter auf
BlackBerry 10 OS (Version 10.3 und dem Gerät einzugeben, ohne die Alt-Taste zu
höher)
drücken, und vervollständigt das Feld für das
Gerätekennwort oder für das Kennwort für
den geschäftlichen Bereich automatisch,
wenn das Gerätekennwort oder das Kennwort
für den geschäftlichen Bereich und das
Smartcard-Kennwort identisch sind.
•
•
•
Sperren beim Entfernen der
Smartcard
Beschreibung
•
•
•
•
Sie können diese Regel verwenden, um zu
bestimmen, ob ein Gerät das SmartcardKennwort im Cache-Speicher speichern kann.
Das zwischengespeicherte Kennwort wird im
Geräte-RAM gespeichert.
BlackBerry Balance-Geräte
Sie können diese Regel verwenden, um zu
bestimmen, ob ein Gerät oder der
Reguliertes BlackBerry Balancegeschäftliche Bereich auf einem Gerät
Gerät
gesperrt wird, wenn ein Benutzer die
Gerät, das nur über einen
Smartcard aus einem unterstützen Smart
geschäftlichen Bereich verfügt
Card Reader entfernt oder einen unterstützten
BlackBerry 10 OS (Version 10.3 und Smart Card Reader vom Gerät trennt.
höher)
BlackBerry Balance-Geräte
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
74
Verwalten der Gerätesicherheit mit BES12
Steuern des BlackBerry Link-Zugriffs auf Geräte
Die Benutzer von BlackBerry 10-Geräten können Apps und Daten mithilfe von BlackBerry Link auf einem Computer sichern
und wiederherstellen. Benutzer können die gesicherten Daten auf Geräten wiederherstellen, nachdem die Gerätesoftware
aktualisiert wurde oder wenn Probleme auftreten, die eine Wiederherstellung der Informationen erforderlich machen. Benutzer
können die Daten auf dem gleichen Gerät wiederherstellen oder an ein anderes Gerät übertragen. Die Daten werden
verschlüsselt und auf den Computern der Benutzer gespeichert. Sie können die erforderliche Verschlüsselungsschlüssel in
BES12 generieren, undBES12 übermittelt die Schlüssel an die Geräte.
Auf BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten können der geschäftliche Bereich und der
persönliche Bereich gesichert und wiederhergestellt werden. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen,
kann der geschäftliche Bereich gesichert werden (da es nur den einen Bericht gibt).
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Sie mit der IT-Richtlinienregel „Sichern und
Wiederherstellen des geschäftlichen Bereichs zulassen“ verhindern, dass Benutzer Apps und Daten im geschäftlichen Bereich
der Geräte sichern und wiederherstellen. Wenn diese Regel nicht aktiviert ist, wird die Option zum Sichern und
Wiederherstellen der Inhalte des geschäftlichen Bereichs in BlackBerry Link deaktiviert.
Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, und regulierten BlackBerry Balance-Geräten können Sie mit
der IT-Richtlinienregel „Sichern und Wiederherstellen des geschäftlichen Bereichs zulassen“ verhindern, dass Benutzer Apps
und Daten auf dem Gerät sichern und wiederherstellen. Wenn diese Regel nicht aktiviert ist, wird die Option zum Sichern und
Wiederherstellen der Inhalte des Geräts in BlackBerry Link deaktiviert.
Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, und regulierten BlackBerry Balance-Geräten, können Sie mit
der IT-Richtlinienregel „Zulassen, dass Computer auf Gerät zugreift“ verhindern, dass Computer auf Inhalte von Geräten über
eine USB-Verbindung zugreifen oder die Option zur Freigabe von Dateien mit einer Wi-Fi-Verbindung verwenden können. Wenn
Sie diese Regel auf „Nicht zulassen“ setzen, können Benutzer mit ihren Geräten keine Verbindung zu BlackBerry Link
herstellen.
Weitere Informationen über die Verwendung von BES12 zum Generieren von Verschlüsselungsschlüsseln finden Sie in der
Dokumentation für Administratoren. Weitere Informationen über BlackBerry Link- und BlackBerry 10-Geräte finden Sie im
Sicherheitshandbuch für BlackBerry 10-Geräte.
75
Wie BES12 Ihre Daten während der Übertragung schützt
Wie BES12 Ihre Daten während der
Übertragung schützt
4
Daten, die zwischen Geräten und den Ressourcen Ihres Unternehmens hin- und hergesendet werden, werden je nach
Datenpfad mit verschiedenen Methoden geschützt.
Zwischen den Mail-, Web- und Inhaltsservern Ihres Unternehmens und Geräten übertragene Daten können direkt über ein
geschäftliches VPN, ein geschäftliches Wi-Fi-Netzwerk oder in Abhängigkeit von der Aktivierungsart und den gewählten
Optionen des Geräts auch über BES12 und die BlackBerry Infrastructure gesendet werden.
Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus
Ihrem Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst
wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.
Unabhängig vom Typ und Pfad der Daten werden die Daten verschlüsselt und über gegenseitig authentifizierte Verbindungen
geleitet. Die Daten können nicht von der BlackBerry Infrastructure oder an einem anderen Punkt auf dem Übertragungsweg
entschlüsselt werden.
Schutz von Daten während der Übertragung
über die BlackBerry Infrastructure
Daten, die zwischen Geräten und Ihren Ressourcen übertragen werden, durchlaufen die BlackBerry Infrastructure unter den
folgenden Umständen:
•
BES12 sendet interne Apps und alle Geräteverwaltungsdaten, wie IT-Richtlinien, Profile und ITAdministrationsbefehle, durch die BlackBerry Infrastructure an die Geräte, selbst wenn diese mit einem
geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden sind.
•
Die zwischen einem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens übertragenen Daten
durchlaufen BES12 und die BlackBerry Infrastructure nur dann, wenn BlackBerry Secure Connect Plus oder die
Enterprise-Konnektivität eingeschaltet sind und das Gerät nicht mit einem geschäftlichen VPN oder einem Wi-FiGeschäftsnetzwerk verbunden ist.
Enterprise-Konnektivität ist für BlackBerry 10-Geräte immer aktiviert und kann für Geräte mit Secure Work Space konfiguriert
werden.Geräte mit BlackBerry 10, iOS 9 und höher mit „MDM-Steuerelemente“-Aktivierungen, Samsung KNOX Workspaceund Android for Work-Geräte mit „Android for Work – Premium“-Aktivierungen können BlackBerry Secure Connect Plus
verwenden.
76
Wie BES12 Ihre Daten während der Übertragung schützt
Schützen von Geräteverwaltungsdaten, die
zwischen BES12 und Geräten gesendet werden
Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile, IT-Administrationsbefehle und interne Apps aus Ihrem
Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn
das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.
Während des Aktivierungsvorgangs wird eine TLS-Verbindung mit gegenseitiger Authentifizierung zwischen BES12 und den
BlackBerry 10-, Windows 10- sowie OS X-Geräten hergestellt. BES12 baut die gegenseitig authentifizierte TLS-Verbindung mit
der Good for BES12-App auf den iOS-Geräten oder dem BES12 Client auf Android- oder Windows Phone 8.x-Geräten auf. Wenn
BES12 Konfigurationsinformationen an ein Gerät senden muss und BES12 und das Gerät eine TLS-Verbindung zum Schützen
der Daten verwenden.
Senden von Geräteverwaltungsdaten zwischen Geräten und
BES12
Wenn BES12 Geräteverwaltungsdaten an Geräte sendet und Geräte Daten an BES12 zurücksenden, werden die Daten stets
über die BlackBerry Infrastructure übermittelt.
77
Wie BES12 Ihre Daten während der Übertragung schützt
Verwendete Verschlüsselungsarten zum Senden von
Geräteverwaltungsdaten an Geräte
Für das Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 werden verschiedene Verschlüsselungsarten
verwendet.
Authentifizierung von BES12 bei der BlackBerry
Infrastructure
Zum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige
Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich.Je nach den gewählten
Verbindungsoptionen verwenden BES12 und die BlackBerry Infrastructure je nach Typ der gesendeten Daten unterschiedliche
Authentifizierungsmethoden:
•
Wenn BES12 Geräteverwaltungsdaten an ein beliebiges Gerät sendet oder geschäftliche Daten von Mail-, Web-, oder
Inhaltsservern Ihres Unternehmens über Enterprise-Konnektivität an Secure Work Space-Geräte sendet, nutzen
BES12 und BlackBerry Infrastructure eine gegenseitig authentifizierte TLS-Verbindung, die AES-256 zum Schutz der
Daten beim Transport verwendet.
•
Wenn BES12 Geschäftsdaten vom Mail-, Web- oder Inhaltsserver Ihres Unternehmens an BlackBerry 10-Geräte
mittels Enterprise-Konnektivität über die BlackBerry Infrastructure sendet, verwendet BES12 SRP zur
Authentifizierung bei und Verbindung mit der BlackBerry Infrastructure.
•
Wenn BES12 geschäftliche Daten von Mail-, Web-, oder Inhaltsservern Ihres Unternehmens über BlackBerry Secure
Connect Plus an BlackBerry 10-, iOS-, Samsung KNOX Workspace- oder Android for Work-Geräte sendet, verwendet
BES12 SRP für die Authentifizierung mit der BlackBerry Infrastructure und stellt dann einen sicheren IP-Tunnel mit
DTLS zwischen BES12 und dem Gerät her.
78
Wie BES12 Ihre Daten während der Übertragung schützt
Nachdem BES12 und die BlackBerry Infrastructure eine SRP-Verbindung hergestellt haben, baut BES12 eine permanente
TCP/IP-Verbindung über TCP-Port 3101 auf, über die Daten an die BlackBerry Infrastructure gesendet werden können.
SRP ist ein proprietäres Punkt-zu-Punkt-Protokoll, das über TCP/IP ausgeführt wird. BES12 verwendet SRP zum Kontaktieren
der BlackBerry Infrastructure und zum Herstellen einer Verbindung. Wenn BES12 und die BlackBerry Infrastructure eine
Verbindung herstellen, führen sie die folgenden Aktionen aus:
•
Gegenseitige Authentifizierung
•
Austausch von Konfigurationsinformationen
•
Senden und Empfangen von Daten
Datenfluss: Authentifizieren von BES12 bei der BlackBerry
Infrastructure beim Senden von Geräteverwaltungsdaten
Dieser Datenfluss gilt auch für das Senden von geschäftlichen Daten mithilfe der Enterprise-Konnektivität an Secure Work
Space-Geräte.
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
4.
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
•
Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung
•
Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an
die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern
Die BlackBerry Infrastructure überprüft den von BES12 gesendeten SRP-Bezeichner und -Authentifizierungsschlüssel
und führt eine der folgenden Aktionen aus:
•
Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Wenn die Anmeldedaten nicht gültig sind, wird der Authentifizierungsvorgang gestoppt und die SRP-Verbindung
geschlossen.
Datenfluss: Authentifizieren von BES12 bei der BlackBerry
Infrastructure beim Senden von Geschäftsdaten an Geräte
79
Wie BES12 Ihre Daten während der Übertragung schützt
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
•
Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung
•
Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an
die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern
4.
Die BlackBerry Infrastructure sendet eine zufällige Challenge-Zeichenfolge an BES12.
5.
BES12 sendet eine Challenge-Zeichenfolge an die BlackBerry Infrastructure.
6.
Die BlackBerry Infrastructure hashcodiert die von BES12 empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel mittels HMAC und dem SHA-1-Algorithmus. Die BlackBerry Infrastructure sendet den
resultierenden 20-Byte-Wert als Challenge-Antwort an BES12.
7.
BES12 hashcodiert die von der BlackBerry Infrastructure empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel und sendet das Ergebnis als Challenge-Antwort an die BlackBerry Infrastructure.
8.
Die BlackBerry Infrastructure führt eine der folgenden Aktionen durch:
•
Akzeptiert die Challenge-Antwort und sendet eine Bestätigung an den BES12, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Lehnt die Challenge-Antwort ab
Wenn die BlackBerry Infrastructure die Challenge-Antwort ablehnt, ist der Authentifizierungsprozess nicht erfolgreich. Die
BlackBerry Infrastructure und der BES12 schließen die SRP-Verbindung.
Wenn BES12 fünfmal innerhalb einer Minute den gleichen SRP-Authentifizierungsschlüssel und die gleiche SRP-ID zum
Herstellen (und anschließenden Trennen) einer Verbindung mit der BlackBerry Infrastructure verwendet, deaktiviert die
BlackBerry Infrastructure die SRP ID, um zu verhindern, dass sie von einem Angreifer zur Schaffung von Bedingungen für
einen Denial-of-Service (DoS)-Angriff missbraucht werden kann.
80
Wie BES12 Ihre Daten während der Übertragung schützt
Wie Geräte eine Verbindung zur BlackBerry
Infrastructure herstellen
Geräte und die BlackBerry Infrastructure senden sich gegenseitig alle Daten über eine TLS-Verbindung zu. Die TLS-Verbindung
verschlüsselt die Daten, die von den Geräten und der BlackBerry Infrastructure hin und her gesendet werden.
Wenn ein Angreifer versucht, sich als die BlackBerry Infrastructure auszugeben, verhindern die Geräte den Aufbau der
Verbindung. Die Geräte verifizieren, ob der öffentliche Schlüssel des TLS-Zertifikats für die BlackBerry Infrastructure mit dem
privaten Schlüssel des Stammzertifikats übereinstimmt, das während der Herstellung auf den BlackBerry 10-Geräten
vorinstalliert wird und das auf anderen Geräten während des Aktivierungsprozesses installiert wird. Wenn ein Benutzer ein
ungültiges Zertifikat akzeptiert, kann die Verbindung nur dann hergestellt werden, wenn das Gerät auch mit einer gültigen
BES12-Instanz authentifiziert werden kann.
Verschlüsselung der BlackBerry Infrastructure-Verbindung
Bei einer BlackBerry Infrastructure-Verbindung stellt ein Gerät über einen beliebigen drahtlosen Zugriffspunkt, die BlackBerry
Infrastructure, die Firewall Ihres Unternehmens und den BES12 eine Verbindung zu den Ressourcen Ihres Unternehmens her.
Wi-Fi-Verschlüsselung wird nur verwendet, wenn der drahtlose Zugriffspunkt für die Verwendung der Verschlüsselung
eingerichtet ist.
Datenfluss: Herstellen einer TLS-Verbindung zwischen der
BlackBerry Infrastructure und einem Gerät
1.
Ein Gerät sendet eine Anforderung zum Herstellen einer TLS-Verbindung an die BlackBerry Infrastructure.
2.
Die BlackBerry Infrastructure sendet ihr TLS-Zertifikat an das Gerät.
81
Wie BES12 Ihre Daten während der Übertragung schützt
3.
Das Gerät überprüft das TLS-Zertifikat mit einem Stammzertifikat, das auf dem Gerät während der Fertigung oder des
Aktivierungsprozesses vorinstalliert wurde.
4.
Das Gerät stellt die TLS-Verbindung her.
Verbinden von Geräten mit Ihren Ressourcen
BlackBerry 10-Geräte, Geräte mit Secure Work Space, bei denen Enterprise-Konnektivität aktiviert ist, und iOS-Geräte mit
Samsung KNOX Workspace oder Android for Work können sich über BlackBerry Secure Connect Plus über mehrere
Kommunikationsmethoden mit Ihren Unternehmensressourcen (z. B. Mail-Server, Web-Server und Inhaltsserver) verbinden.
Standardmäßig versuchen die Geräte, mithilfe der folgenden Kommunikationsmethoden eine Verbindung zu den Ressourcen
Ihres Unternehmens herzustellen. Der Reihe nach:
1.
Geschäftliche VPN-Profile, die Sie konfigurieren
2.
Geschäftliche Wi-Fi-Profile, die Sie konfigurieren
3.
BlackBerry Infrastructure und BES12
4.
Persönliche VPN- oder Wi-Fi-Einstellungen, die ein Benutzer auf dem Gerät konfiguriert
Standardmäßig können geschäftliche Apps auf den Geräten ebenfalls jede dieser Kommunikationsmethoden verwenden, um
auf die Ressourcen in Ihrer Unternehmensumgebung zuzugreifen.
82
Wie BES12 Ihre Daten während der Übertragung schützt
Schutz von Daten während der Übertragung zwischen
BlackBerry 10 Geräten und Ihren Ressourcen
Bevor BES12 oder ein BlackBerry 10-Gerät Daten über die BlackBerry Infrastructure zwischen dem Gerät und dem Mail-, Weboder Inhaltsserver Ihres Unternehmens sendet, komprimiert er bzw. es die Daten, verschlüsselt sie mithilfe von
Nachrichtenschlüsseln und verschlüsselt die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts. Wenn BES12
oder ein Gerät die Daten empfängt, entschlüsselt es die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts und
entschlüsselt und dekomprimiert die Daten. Dieser Prozess wird als BlackBerry-Transportschichtverschlüsselung bezeichnet.
Daten, die zwischen Geräten und den Servern Ihres Unternehmens übertragen und über die TCP/IP-Verbindung zwischen
BES12 und BlackBerry Infrastructure gesendet werden, sind sicher, da die Daten an keinem Zwischenpunkt zwischen BES12
und dem Gerät erneut entschlüsselt und verschlüsselt werden.
Kein Datenverkehr, der von Geräten über die BlackBerry Infrastructure gesendet wird, kann Ihre Unternehmensressourcen
erreichen, solange BES12 die Daten nicht mit einem gültigen Transportschlüssel für das Gerät entschlüsseln kann.
BES12 und die Geräte verwenden AES-256 im CBC-Modus als symmetrischen Algorithmus für die BlackBerryTransportschichtverschlüsselung.
Schlüssel zum Gerätetransport
Der Transportschlüssel des Geräts verschlüsselt die Nachrichtenschlüssel, durch die die Daten bei der Übertragung zwischen
den Unternehmensressourcen und den BlackBerry 10-Geräten, die über BES12 und die BlackBerry Infrastructure gesendet
werden, geschützt werden. BES12 und ein Gerät generieren den Transportschlüssel des Geräts, wenn ein Benutzer das Gerät
aktiviert.
Der Wert des Transportschlüssels des Geräts ist nur BES12 und dem Gerät bekannt. Datenpakete, deren Format nicht erkannt
wird, oder deren Gerätetransportschlüssel, durch den das Datenpaket geschützt wird, nicht erkannt wird, werden abgelehnt.
Geräte speichern ihre Transportschlüssel in einer Schlüsselspeicherdatenbank im Flash-Speicher. Die
Schlüsselspeicherdatenbank verhindert, dass Angreifer die Gerätetransportschlüssel auf einen Computer kopieren können,
indem sie versuchen, eine Sicherung davon abzulegen. Angreifer können keine Schlüsseldaten aus dem Flash-Speicher
extrahieren.
Generieren des Gerätetransportschlüssels für ein Gerät
Wenn ein Benutzer ein BlackBerry 10-Gerät aktiviert, sendet das Gerät eine CSR an BES12. BES12 erstellt anhand der CSR ein
Client-Zertifikat, signiert das Client-Zertifikat mit seinem Verwaltungsstammzertifikat des Unternehmens und sendet das ClientZertifikat und das Verwaltungsstammzertifikat des Unternehmens an das Gerät. Um die Verbindung zwischen dem Gerät und
BES12 während des Zertifikataustauschs zu schützen, erstellen das Gerät und BES12 mithilfe des Aktivierungskennworts und
der EC-SPEKE einen kurzlebigen symmetrischen Schlüssel.
Sobald der Zertifikataustausch abgeschlossen ist, stellen das Gerät und BES12 unter Verwendung des Client-Zertifikats und des
Server-Zertifikats eine gegenseitig authentifizierte TLS-Verbindung her. Das Gerät verifiziert das Server-Zertifikat mithilfe des
Verwaltungsstammzertifikats des Unternehmens.
83
Wie BES12 Ihre Daten während der Übertragung schützt
Um den Transportschlüssel des Geräts zu generieren, verwenden das Gerät und BES12 die authentifizierten, langfristig
geltenden öffentlichen Schlüssel, die mit dem Clientzertifikat und dem Serverzertifikat für BES12 verknüpft sind, sowie ECMQV.
Das ECMQV-Protokoll wird über die gegenseitig authentifizierte TLS-Verbindung verwendet. Die in ECMQV verwendete
elliptische Kurve entspricht der von NIST empfohlenen 521-Bit-Kurve.
BES12 und das Gerät senden den Transportschlüssel des Geräts nicht über das drahtlose Netzwerk, wenn der
Transportschlüssel des Geräts generiert wird oder Daten ausgetauscht werden.
Nachrichtenschlüssel
Durch Nachrichtenschlüssel wird die Integrität der Daten geschützt, die zwischen den Ressourcen Ihres Unternehmens und
den BlackBerry 10-Geräten über den BES12 und die BlackBerry Infrastructure übertragen werden.
BES12 und ein BlackBerry 10-Gerät generieren einen oder mehrere Nachrichtenschlüssel für alle Daten, die durch BES12 und
die BlackBerry Infrastructure geleitet werden. Wenn die Daten 2 KB überschreiten und aus mehreren Datenpaketen bestehen,
erstellen BES12 und das Gerät einen spezifischen Nachrichtenschlüssel für jedes Datenpaket.
Jeder Nachrichtenschlüssel besteht aus Zufallsdaten, so dass Dritte den Schlüssel nicht entschlüsseln, neu erstellen oder
duplizieren können.
BES12 und das Gerät speichern die Nachrichtenschlüssel nicht im permanenten Speicher. Sie setzen den mit den
Nachrichtenschlüsseln verknüpften Speicher frei, nachdem BES12 oder das Gerät die Daten mithilfe des
Nachrichtenschlüssels entschlüsselt hat.
Das Gerät verwendet Bit, die aus einer zufällig angeordneten Quelle auf dem Gerät abgerufen werden, um einen pseudozufälligen, hoch entropischen Nachrichtenschlüssel zu generieren.
Datenfluss: Erstellen eines Nachrichtenschlüssels auf einem Gerät
Ein BlackBerry 10-Gerät verwendet zum Generieren eines Nachrichtenschlüssels die DRBG-Funktion.
Zur Erstellung eines Nachrichtenschlüssels führt das Gerät die folgenden Aktionen aus:
1.
Ruft Zufallsdaten von mehreren Quellen zur Erstellung des Ausgangswerts ab. Das entsprechende Verfahren leitet das
Gerät aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab
2.
Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays
3.
Fügt das 256-Byte-Zustandsarray in den ARC4-Verschlüsselungsalgorithmus ein, um das 256-Byte-Zustandsarray weiter
zu randomisieren
4.
Zieht 521 Byte aus dem ARC4-Byte-Zustandsarray
Das Gerät zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um
sicherzustellen, dass die Zeiger vor und nach dem Aufruf nicht an derselben Stelle sind und für den Fall, dass die ersten
paar Byte des ARC4-Zustandsarrays nicht zufällig sind.
5.
Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren
6.
Verwendet den 64-Byte-Wert als Ausgangswert für die DRBG-Funktion
84
Wie BES12 Ihre Daten während der Übertragung schützt
Das Gerät speichert eine Kopie des Ausgangswerts in einer Datei. Wenn das Gerät neu gestartet wird, liest das Programm
den Ausgangswert in der Datei und vergleicht den gespeicherten Ausgangswert mithilfe der XOR-Funktion mit dem neuen
Ausgangswert.
7.
Verwendet die DRBG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AESVerschlüsselung
8.
Verwendet die Pseudo-Zufallsbits, um den Nachrichtenschlüssel zu erstellen
Weitere Informationen zur DRBG-Funktion finden Sie in NIST Special Publication 800-90.
Datenfluss: Generieren eines Nachrichtenschlüssels in BES12
Der BES12 verwendet die DSA PRNG-Funktion zum Generieren eines Nachrichtenschlüssels.
Zum Generieren eines Nachrichtenschlüssels führt der BES12 die folgenden Aktionen aus:
1.
Ruft Zufallsdaten von mehreren Quellen für den Ausgangswert ab. Das entsprechende Verfahren leitet der BES12 aus der
Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab
2.
Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays
BES12 fordert 512 Bit Zufallsdaten aus der Microsoft Cryptographic API an, um die Zufälligkeit der Daten zu erhöhen.
3.
Fügt das 256-Byte-Zustandsarray in den ARC4-Algorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren
4.
Zieht 521 Byte aus dem 256-Byte-Zustandsarray
BES12 zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um
sicherzustellen, dass die Zeiger vor und nach dem Generierungsvorgang nicht an derselben Stelle sind und für den Fall,
dass die ersten paar Byte des 256-Byte-Zustandsarrays nicht zufällig sind.
5.
Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren
6.
Verwendet den 64-Byte-Wert als Ausgangswert für die DSA PRNG-Funktion
7.
Verwendet die DSA PRNG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der
AES-Verschlüsselung
8.
Verwendet die Pseudo-Zufallsbits mit AES-Verschlüsselung zum Generieren des Nachrichtenschlüssels
Weitere Informationen zur DSA PRNG-Funktion erhalten Sie unter Federal Information Processing Standard – FIPS PUB 186-2.
Datenfluss: Senden von Daten von BlackBerry 10-Geräten über die BlackBerry
Infrastructure an Ihre Server
85
Wie BES12 Ihre Daten während der Übertragung schützt
1.
Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:
a
Komprimiert die Daten
b
Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
d
Sendet die Daten über eine TCP-Verbindung an die BlackBerry Infrastructure
2.
Die BlackBerry Infrastructure sendet die Daten über eine permanente TCP/IP-Verbindung an BES12.
3.
BES12 führt die folgenden Aktionen aus:
a
Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
b
Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Dekomprimiert die Daten
d
Sendet die Daten an den Zielserver innerhalb der Firewall
Datenfluss: Senden von Daten von Ihren Servern an die BlackBerry 10-Geräte über die
BlackBerry Infrastructure
1.
Ein Mail-, Web- oder Inhaltsserver innerhalb der Firewall sendet die Daten an BES12.
86
Wie BES12 Ihre Daten während der Übertragung schützt
2.
BES12 führt die folgenden Aktionen aus:
a
Komprimiert die Daten
b
Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
d
Sendet die Daten über eine permanente TCP/IP-Verbindung an die BlackBerry Infrastructure
3.
Die BlackBerry Infrastructure sendet die Daten über eine TCP-Verbindung an das BlackBerry 10-Gerät.
4.
Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:
a
Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
b
Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Dekomprimiert die Daten
Beschränkungen für Cipher Suites auf BlackBerry 10-Geräten
Mit BES12 können Sie einschränken, welche Cipher Suites der SSL-Bibliothek von BlackBerry 10-Geräten unterstützt werden.
Sie können dies tun, wenn eine Cipher Suite entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer
Organisation diese Cipher Suite für die Kommunikation nicht benötigen.
Die standardmäßigen SSL-Konfigurationswerte sind in den meisten Bereitstellungen akzeptabel. Die Übertragung einer
benutzerdefinierten SSL-Konfiguration kann eine erhebliche Auswirkung auf die Systeme haben, zu denen die Geräte der
Benutzer eine Verbindung herstellen müssen. Wenn Sie planen, eine benutzerdefinierten SSL-Konfiguration auf Geräte zu
übertragen, sollten Sie diese zuvor auf ein paar Geräten testen.
Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren.
NIAP Common Criteria-Funktionalität auf BlackBerry 10-Geräten
NIAP ist eine Initiative der US-amerikanischen Regierung zur Einhaltung von IT-Sicherheitsanforderungen.
BES12- und BlackBerry 10-Geräte (BlackBerry 10 OS Version 10.3.3 und höher) unterstützen NIAP Common CriteriaFunktionalität. Wenn die IT-Richtlinienregel „NIAP Common Criteria-Funktionalität aktivieren“ ausgewählt ist, verhandeln
regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, alle TLS-Verbindungen
gemäß dem in RFC 6460 definierten „Suite B Profile“ und unterstützen die folgenden Cipher-Suites:
•
TLS_RSA_WITH_AES_128_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Schützen der Kommunikation zwischen Apps auf Ihren BlackBerry 10-Geräten und Ihrem
Unternehmensnetzwerk
BlackBerry 10-Geräte lassen geschäftliche Apps und persönliche Apps (auf Geräten mit einem persönlichen Bereich) zu, um
unter Verwendung eines verfügbaren Wi-Fi-Profils oder VPN-Profils eine Verbindung zu Ihrem Unternehmensnetzwerk
87
Wie BES12 Ihre Daten während der Übertragung schützt
herzustellen. Wenn Sie Wi-Fi-Profile oder VPN-Profile mit dem BES12 konfigurieren, erlauben Sie persönlichen Apps, auf das
Netzwerk Ihres Unternehmens zuzugreifen.
Wenn die Sicherheitsanforderungen Ihres Unternehmens nicht zulassen, dass persönliche Apps auf das
Unternehmensnetzwerk zugreifen, können Sie die Verbindungsoptionen einschränken. Mithilfe der IT-Richtlinienregel
"Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden" können Sie verhindern, dass persönliche Apps das
Netzwerk Ihres Unternehmens verwenden, indem sie über Ihre geschäftliche Wi-Fi- oder VPN-Netzwerkverbindung auf das
Internet zugreifen.
Außerdem können Sie die Kommunikationsmethoden einschränken, über die Geräte über BES12 eine Verbindung mit Ihrem
Unternehmensnetzwerk herstellen können. Beschränken Sie dazu die Verbindungsoptionen auf den BlackBerry MDS
Connection Service und die BlackBerry Infrastructure. Persönliche Apps können über den BlackBerry MDS Connection Service
und die BlackBerry Infrastructure keine Verbindung zum Netzwerk Ihres Unternehmens herstellen.
Schützen von Daten, die mittels Push an Apps auf BlackBerry 10-Geräten übertragen wurden
Der BlackBerry MDS Connection Service verbindet Push-Anwendungen, die auf den Anwendungsservern oder Webservern
Ihres Unternehmens gehostet werden, mit Apps auf BlackBerry 10-Geräten. Der BlackBerry MDS Connection Service sendet
von Push-Anwendungen empfangene Push-Anforderungen über die BlackBerry Infrastructure an Apps auf BlackBerry 10Geräten.
Bei Bedarf können Sie nur bestimmten Push-Anwendungen erlauben, Daten mittels Push an BlackBerry 10-Geräte zu
übertragen, und Sie können die Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service
Daten von nicht autorisierten Push-Anwendungen sendet.
Zum Schutz der Verbindung zwischen Push-Anwendungen und dem BlackBerry MDS Connection Service können Sie TLS
verwenden. Push-Anwendungen können das selbstsignierte Zertifikat verwenden, das generiert wird, wenn Sie den BlackBerry
MDS Connection Service-Schlüsselspeicher konfigurieren, oder Sie können dem Schlüsselspeicher ein signiertes Zertifikat von
einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen.
Weitere Informationen zum BlackBerry MDS Connection Service finden Sie in der Dokumentation zur Konfiguration.
88
Wie BES12 Ihre Daten während der Übertragung schützt
Schutz von Daten während der Übertragung zwischen Secure
Work Space Geräten und Ihren Ressourcen
Sie können für die Daten eines Geräts während der Übertragung einen zusätzlichen Schutz bereitstellen, unter anderem für
Authentifizierungsverbindungen und -sitzungen, und die Daten verschlüsseln, indem die Enterprise-Konnektivität bei einem
Gerät mit Secure Work Space aktiviert wird. Mit der Enterprise-Konnektivität vermeiden Sie, dass innerhalb der Firewall Ihres
Unternehmens eine direkte Verbindung mit dem Internet für die Geräteverwaltung und Drittanbieteranwendungen, bspw. den
Mailserver, die Zertifizierungsstelle und andere Web- oder Inhaltsserver, geöffnet wird. Die Enterprise-Konnektivität sendet den
gesamten Datenverkehr über die BlackBerry Infrastructure an BES12.
Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren.
Verbindung eines Geräts mit Secure Work Space mit Enterprise-Konnektivität mit BES12
Beim Zugriff auf Ihr Unternehmensnetzwerk stellt ein Gerät mit Enterprise-Konnektivität die Verbindung über einen Wi-FiZugriffspunkt oder ein Mobilfunknetz, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und BES12 her.
Die Geräte und die Ressourcen Ihres Unternehmens verwenden Tunneling für die Einkapselung verschiedener
Verschlüsselungsarten in der End-to-End-Verbindung. Man spricht von Tunneling (Tunneln), wenn Daten mit mehr als einer
Verschlüsselungsschicht verschlüsselt werden. Welche Art der Verschlüsselung verwendet wird, hängt von der Art der
Verbindung zwischen dem Gerät und der Ressource ab.
Die Daten, die das Gerät und BES12 untereinander austauschen, werden mithilfe der TLS-Verschlüsselung verschlüsselt.
Wurde der drahtlose Zugriffspunkt eingerichtet, um Wi-Fi-Verschlüsselung zu verwenden, verwenden die Daten, die das Gerät
und der drahtlose Zugriffspunkt austauschen, dieWi-Fi-Verschlüsselung. Da auf dem Gerät Tunneling verwendet wird, werden
die Daten, die das Gerät an BES12 sendet, während der Übertragung zwischen dem Gerät und dem drahtlosen Zugriffspunkt
zuerst durch TSL-Verschlüsselung und anschließend durch Wi-Fi-Verschlüsselung verschlüsselt.
89
Wie BES12 Ihre Daten während der Übertragung schützt
Verschlüsselungstyp
Beschreibung
Wi-Fi-Verschlüsselung (IEEE 802.11)
Verschlüsselung wird für Daten verwendet, die bei der Verbindung zwischen einem
Gerät und einem drahtlosen Zugriffspunkt übertragen werden, wenn der drahtlose
Zugriffspunkt für die Verwendung der Wi-Fi-Verschlüsselung eingerichtet wurde.
TLS-Verschlüsselung
Verschlüsselt die Daten für die Verbindung zwischen einem Gerät und BES12
mithilfe des TLS-Protokolls mit dem Algorithmus AES-256.
SSL/TLS-Verschlüsselung
Verschlüsselt die Daten für die Sitzung zwischen einem Gerät und einem Inhalts-,
Web- oder E-Mail-Server, der Exchange ActiveSync verwendet. Die Verschlüsselung
für diese Sitzung muss separat auf jedem Server eingerichtet werden. Hierbei wird
für jeden Server ein separates Zertifikat verwendet. Auf dem Server kann je nach
Einrichtung SSL oder TLS verwendet werden.
Benutzerauthentifizierung mit der Good for BES12-App oder dem BES12 Client
Die Good for BES12-App oder der BES12 Client authentifiziert den Gerätebenutzer bei BES12 und verwendet hierzu ein von
BES12 signiertes Zertifikat. Diese Authentifizierung erfolgt, bevor BES12 gesicherte Apps per Push auf das Gerät überträgt.
Wenn die Authentifizierung erfolgreich ist, sendet BES12 die Bereitstellungsdaten an die Good for BES12-App oder den BES12
Client.
Wenn die gesicherten Apps auf das Gerät übertragen werden und eine gesicherte App geöffnet wird, sendet die Good for
BES12-App oder der BES12 Client die Bereitstellungsdaten an Secure Work Space. Secure Work Space verwendet die
Bereitstellungsdaten zum Herstellen einer Verbindung an BES12.
Verschlüsselung und Sicherheit für geschäftliche Daten bei der Übertragung
Die Übertragung gesicherter Apps (z. B. E-Mail- und Kalenderdaten) erfolgt über TLS-authentifizierte Sitzungen für die
Datenverschlüsselung zwischen dem Gerät und BES12. Für diesen Datenverkehr werden SSL- oder TLS-Verschlüsselung zum
Verschlüsseln der Sitzung zwischen dem Gerät und dem Inhaltsserver, Web- oder E-Mail-Server eingesetzt, der Exchange
ActiveSync verwendet.
Für gesicherte Apps mit Enterprise-Konnektivität werden zudem eine API-seitige Authentifizierung und die Validierung per
Sitzungs-Token bereitgestellt. Bei der API-Authentifizierung verwendet jede API-Kommunikationsmethode eine eindeutige
Methode für den Aufbau einer vertrauenswürdigen Beziehung. Wenn die Sicherheit einer der Methoden beeinträchtigt werden
sollte, sind andere Methoden weiterhin sicher. Die Validierung per Sitzungs-Token wird für die Identifizierung des Geräts bei der
Bereitstellung verwendet. Einige APIs nutzen das Sitzungs-Token, abhängig vom Sicherheitskontext.
Speichern und Schützen von Authentifizierungszertifikaten
BES12 und die Good for BES12-App oder der BES12 Client auf dem Gerät mit Secure Work Space sichern den Kanal und
speichern jeweils eine Kopie des Authentifizierungszertifikats. Die Good for BES12-App oder der BES12 Client speichert das
90
Wie BES12 Ihre Daten während der Übertragung schützt
Zertifikat im sicheren Dateisystem. Gesicherte Apps verwenden die Verwendung des Zertifikats für die Kommunikation mit
BES12 über den sicheren Kanal.
Innerhalb des sicheren Kanals kann eine gesicherte App von Dritten einen zweiten sicheren Kanal für die Authentifizierung mit
Webseiten einrichten. Hierfür verwendet die App den zugrundeliegenden Schlüsselspeicher des Geräts (z. B. den iOSSchlüsselspeicher).
Schutz von Daten während der Übertragung mit BlackBerry
Secure Connect Plus
BlackBerry Secure Connect Plus ist eine BES12-Komponente, die einen sicheren IP-Tunnel zwischen Apps und dem Netzwerk
des Unternehmens bereitstellt:
•
Auf BlackBerry 10-, Samsung KNOX Workspace und Android for Work-Geräten verwenden alle Apps des
geschäftlichen Bereichs den sicheren Tunnel.
•
Für Geräte mit iOS 9 und höher mit der Aktivierungsart „MDM-Steuerelemente“ können Sie zulassen, dass alle Apps
den Tunnel nutzen oder festlegen, welche Apps „Per App VPN“ verwenden.
Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall Ihres Unternehmens, wobei die Sicherheit der
Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird.
BlackBerry Secure Connect Plus und ein unterstütztes Gerät stellen einen sicheren IP-Tunnel her, wenn eine Verbindung zu
Ihrem geschäftlichen Wi-Fi-Netzwerk oder VPN nicht verfügbar ist.
Wenn Sie auf iOS-Geräten „Per App VPN“ für BlackBerry Secure Connect Plus konfigurieren, verwenden die konfigurierten
Apps immer eine sicher Tunnelverbindung über BlackBerry Secure Connect Plus, auch wenn die App eine Verbindung zum
geschäftlichen Wi-Fi Netzwerk oder VPN herstellen kann, das in einem Wi-Fi- oder VPN-Profil festgelegt ist.
Unterstützte Geräte kommunizieren mit BES12 über die BlackBerry Infrastructure, um den sicheren Tunnel herzustellen.
Solange der Tunnel geöffnet ist, haben die Apps Zugriff auf Netzwerkressourcen. Sobald der Tunnel nicht mehr benötigt wird
(zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks zurückkehrt), wird er von
BlackBerry Secure Connect Plus geschlossen.
Wie BlackBerry Secure Connect Plus einen sicheren IP-Tunnel herstellt
Nachdem BES12 und das Gerät ermittelt haben, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung
geschäftlicher Apps mit dem Netzwerk des Unternehmens ist, verhandeln das Gerät und BES12 die Tunnelparameter über die
BlackBerry Infrastructure.
Der hergestellte Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt. Er unterstützt Standard-IPv4-Protokolle
(TCP und UDP). BlackBerry Secure Connect Plus verschlüsselt und entschlüsselt Datenverkehr mit FIPS-140-zertifizierten
Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsseln.
91
Wie BES12 Ihre Daten während der Übertragung schützt
Datenfluss: Erstellung eines sicheren IP-Tunnels durch BlackBerry Secure Connect Plus
1.
BES12 und das Gerät erkennen, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung zwischen Apps
und dem Netzwerk Ihres Unternehmens ist.
2.
Das Gerät sendet ein Signal über TLS an die BlackBerry Infrastructure, um einen sicheren Tunnel zum Netzwerk des
Unternehmens anzufordern.
3.
BlackBerry Secure Connect Plus empfängt das Signal über Port 3101 von der BlackBerry Infrastructure.
4.
Das Gerät und BlackBerry Secure Connect Plus handeln die Tunnelparameter aus und erstellen einen sicheren Tunnel
durch die BlackBerry Infrastructure. Der Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt.
Verbinden mit einem VPN
VPN-Profile werden nur auf Geräten mit BlackBerry 10, iOS, OS X, Samsung KNOX MDM, KNOX Workspace und Windows
10unterstützt.
Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei
einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel
zwischen einem Gerät und dem Netzwerk bereit.
Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client
zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zum Unternehmensnetzwerk fungiert. Jedes
Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung ist es
möglicherweise erforderlich, dass auf dem Gerät eine Client-App installiert wird. Der VPN-Client auf dem Gerät unterstützt zur
Authentifizierung mit dem VPN-Konzentrator die Verwendung einer starken Verschlüsselung. Er erstellt einen verschlüsselten
Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und das Unternehmensnetzwerk kommunizieren
können.
92
Wie BES12 Ihre Daten während der Übertragung schützt
Verschlüsselung einer VPN-Verbindung
Bei einer VPN-Verbindung stellen Geräte über einen drahtlosen Zugriffspunkt oder ein Mobilfunknetz, die Firewall und den
VPN-Server des Unternehmens eine Verbindung mit den Ressourcen des Unternehmens her. Wi-Fi-Verschlüsselung wird
verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet ist.
Das Gerät kann für die Verbindung die Authentifizierung auf Kennwort- oder Zertifikatbasis verwenden.
VPN auf Abruf für iOS- oder OS X-Geräte
Mit VPN auf Abruf können Sie festlegen, ob ein iOS- oder OS X-Gerät automatisch eine Verbindung zu einem VPN in einer
bestimmten Domäne aufbaut. Client-Zertifikate liefern dem Benutzergerät die Authentifizierung, wenn auf diese bestimmte
Domäne zugegriffen wird. Sie können z. B. die Domäne Ihres Unternehmens angeben, um Benutzern den Zugriff auf den Inhalt
Ihres Intranets mithilfe von VPN bei Bedarf zu gestatten.
Per App VPN für Apps und App-Gruppen
Sie können Per App VPN auf iOS- und Windows 10-Geräten verwenden, um zu bestimmen, welche geschäftlichen Apps und
gesicherten Apps auf Geräten ein VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der
Belastung Ihres Unternehmens-VPN bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN
freigegeben wird (bspw. Zugriff auf Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die
Privatsphäre des Benutzers und erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche
Datenverkehr nicht über das VPN gesendet wird.
Weitere Informationen über Per App VPN finden Sie in der Dokumentation für Administratoren.
93
Wie BES12 Ihre Daten während der Übertragung schützt
Schützen der Kommunikation mit Geräten
mithilfe von Zertifikaten
Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers
miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird.
Eine Zertifizierungsstelle signiert die Zertifikate und bescheinigt so ihre Glaubwürdigkeit.
Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden:
•
Authentifizieren mittels SSL/TLS, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden
•
Authentifizieren mit einem geschäftlichen Mailserver
•
Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN
•
Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte)
Bereitstellen von Client-Zertifikaten für Geräte
Viele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem Gerät gespeichert werden. Sie können
Client-Zertifikate auf verschiedene Arten auf Geräten bereitstellen.
So wird das Zertifikat
hinzugefügt
Beschreibung
Während der
Geräteaktivierung
BES12 sendet während des Aktivierungsprozesses Zertifikate Alle
an Geräte. Die Geräte verwenden diese Zertifikate, um sichere
Verbindungen zwischen dem Gerät und BES12 herzustellen.
SCEP-Profile
Sie können SCEP-Profile erstellen, mit denen Geräte
Verbindungen zu Clientzertifikaten herstellen und diese von
der Zertifizierungsstelle Ihres Unternehmens mithilfe eines
SCEP-Diensts abrufen. Die Geräte können diese Zertifikate für
die zertifikatsbasierte Authentifizierung im Browser und für
die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk,
einem geschäftlichen VPN oder einem geschäftlichen
Mailserver verwenden.
Profile für
Benutzeranmeldeinformationen
Unterstützte Geräte
•
BlackBerry 10
•
iOS
•
OS X
•
Secure Work Space
•
Samsung KNOX Workspace
•
Android for Work
•
Windows 10
Wenn Ihr Unternehmen Entrust- oder OpenTrust•
Softwareprodukte verwendet, um Zertifikate auszustellen und
•
zu verwalten, können Sie Profile für
•
Benutzeranmeldeinformationen erstellen, die von Geräten
94
BlackBerry 10
iOS
OS X
Wie BES12 Ihre Daten während der Übertragung schützt
So wird das Zertifikat
hinzugefügt
Beschreibung
Unterstützte Geräte
verwendet werden, um Zertifikate von der Zertifizierungsstelle •
Ihres Unternehmens zu erhalten. Die Geräte verwenden diese
Zertifikate für die zertifikatsbasierte Authentifizierung im
Browser und für die Verbindung zu einem geschäftlichen WiFi-Netzwerk, einem geschäftlichen VPN oder einem
geschäftlichen Mailserver.
Profile für
Ein Profil für ein freigegebenes Zertifikat legt ein
freigegebenes Zertifikat Clientzertifikat fest, das BES12 an iOS-, OS X- und AndroidGeräte sendet. BES12 sendet das gleiche Clientzertifikat an
jeden Benutzer, dem das Profil zugewiesen ist.
Android
•
iOS
•
OS X
•
Android
•
iOS
•
Android
Der Administrator muss Zugriff auf das Zertifikat und den
privaten Schlüssel haben, um ein Profil für ein freigegebenes
Zertifikat zu erstellen.
Senden von ClientZum Senden eines Client-Zertifikats an die Geräte einzelner
Zertifikaten an einzelne Benutzer können Sie einem Benutzerkonto ein ClientBenutzerkonten
Zertifikat hinzufügen. BES12 sendet das Zertifikat an die iOSund Android-Geräte des Benutzers.
Der Administrator muss Zugriff auf das Zertifikat und den
privaten Schlüssel haben, um das Client-Zertifikat an den
Benutzer zu senden.
Benutzerimport
Benutzer können Clientzertifikate in den Zertifikatsspeicher
BlackBerry 10
des Geräts im Abschnitt "Sicherheit und Datenschutz" der
"Systemeinstellungen" importieren. Zertifikate für die
Verwendung durch den geschäftlichen Browser oder zum
Senden von S/MIME-geschützten Nachrichten vom
geschäftlichen E-Mail-Konto können aus dem Dateisystem auf
dem Gerät oder aus einem Netzwerkpfad, der vom
geschäftlichen Bereich zugänglich ist, importiert werden.
Smartcards
Benutzer können S/MIME- und SSL-Zertifikate von einer
Smartcard auf ihre Geräte importieren.
BlackBerry 10
Weitere Informationen zum Senden von Client-Zertifikaten an Geräte finden Sie in der Dokumentation für Administratoren.
95
Wie BES12 Ihre Daten während der Übertragung schützt
Verwenden von SCEP für die Anmeldung von Client-Zertifikaten
auf Geräten
SCEP wird von BlackBerry 10-Geräten, iOS-Geräten, OS X-Geräten, Android-Geräten mit Samsung KNOX Workspace, Android
for Work oder Secure Work Space sowie von Geräten mit Windows 10 unterstützt.
SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der
einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können
Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEPDiensts abrufen. Sie können SCEP verwenden, um Clientzertifikate auf Geräten anzumelden, damit die Geräte
zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu einem geschäftlichen Wi-FiNetzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen.
Die Zertifikatsanmeldung startet, nachdem ein Gerät ein SCEP-Profil empfangen hat, das dem Benutzer zugewiesen ist oder mit
einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist. Geräte können ein SCEP-Profil von BES12 während des
Aktivierungsprozesses empfangen, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, dem ein SCEPProfil zugewiesen ist. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Client-Zertifikat und dessen
Zertifikatskette sowie der private Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert.
Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die
Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatsanforderungen
autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, können Sie dynamische Abfragekennwörter verwenden. Das
statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst
werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte
gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der
Zertifikatsanforderungen zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEPAnforderungen von Geräten das gleiche Abfragekennwort verwendet.
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Weitere Informationen zum SCEP-Internet-Draft finden Sie unter www.ietf.org.
Verwalten von Zertifikaten, die mithilfe von SCEP an einem Gerät angemeldet werden
Nachdem ein Gerät ein Zertifikat mithilfe von SCEP angemeldet hat, überwacht die SCEP-Komponente das Ablaufdatum des
Zertifikats. Wenn sich das Ablaufdatum eines Zertifikats nähert, startet die SCEP-Komponente den Anmeldungsprozess für ein
neues Zertifikat. Mithilfe der SCEP-Profileinstellung "Automatische Erneuerung" können Sie einstellen, wie viele Tage vor Ablauf
eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Das Verfahren der Zertifikatregistrierung kann zudem neu beginnen, wenn Sie Änderungen an SCEP-Profileinstellungen für
Zertifizierungsstelle, Verbindung oder Verschlüsselungsschlüssel vornehmen, z. B. URL, SCEP-Challenge-Typ,
Schlüsselalgorithmus oder Schlüsselgröße.
96
Wie BES12 Ihre Daten während der Übertragung schützt
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Datenfluss: Anmelden eines Zertifikats bei einem BlackBerry 10-Gerät mithilfe von SCEP
1.
BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist.
2.
Das Gerät führt die folgenden Aktionen aus:
3.
a
Erstellen eines Schlüsselpaares mithilfe des Schlüsselalgorithmus und der Schlüsselstärke, die im SCEP-Profil
angegeben ist
b
Erstellen eines PKCS#10 CSR mit allen erforderlichen Attributen für die Anfrage, abgesehen vom Abfragekennwort
c
Senden des SCEP-Profilnamens, des PKCS#10 CSR und des Hashtyps an BES12
BES12 führt die folgenden Aktionen aus:
a
Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und
der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank
b
Hinzufügen des Abfragekennworts zum PKCS#10 CSR
c
Verwenden der Hashfunktion für PKCS#10 CSR
d
Senden des PKCS#10 CSR-Hash an das Gerät
4.
Das Gerät berechnet die Signatur auf dem PKCS#10 CSR-Hash und sendet den SCEP-Profilnamen, das ursprüngliche
PKCS#10 CSR, die Signaturanfrage, die berechnete Signaturantwort, das Zertifizierungsstellenzertifikat (zum
Verschlüsseln der SCEP-Anfrage), den Hashtyp und die Art der Verschlüsselung an BES12.
5.
BES12 führt die folgenden Aktionen aus:
a
Überprüfen des empfangenen Zertifizierungsstellenzertifikats
b
Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und
der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank
c
Hinzufügen des Abfragekennworts zum PKCS#10 CSR
d
Hinzufügen der berechneten Signaturantwort zum PKCS#10 CSR
e
Verschlüsseln des PKCS#10 CSR mithilfe des verpackten PKCS#7- Dateiformats und des öffentlichen
Zertifizierungsstellenschlüssels
97
Wie BES12 Ihre Daten während der Übertragung schützt
f
Senden der verpackten PKCS#7-Daten an das Gerät
6.
Das Gerät schließt die SCEP-Anfrage durch Signieren der verpackten PKCS#7-Daten mithilfe des signierten PKCS#7Dateiformats und sendet die SCEP-Anfrage durch BES12 an die Zertifizierungsstelle.
7.
Die Zertifizierungsstelle stellt das Zertifikat aus und sendet es über BES12 das Gerät.
8.
Der Enterprise Management Agent auf dem Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum
Schlüsselspeicher auf dem Gerät hinzu und macht das Zertifikat für die angegebene Verbindung verfügbar, wenn das
SCEP-Profil einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil zugeordnet ist.
Datenfluss: Anmelden eines Client-Zertifikats auf einem Gerät, das BES12 als Proxy für die
SCEP-Anforderung verwendet
Sie können BES12 als Proxy für SCEP-Anforderungen verwenden, die von iOS- und Android-Geräten an die Zertifizierungsstelle
gesendet werden. Wenn die Zertifizierungsstelle sich hinter Ihrer Firewall befindet, können Sie mithilfe von BES12 als Proxy
Client Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
1.
BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist.
2.
Das Gerät erstellt eine SCEP-Anforderung und sendet sie an die BlackBerry Infrastructure.
3.
Die BlackBerry Infrastructure sendet die SCEP-Anforderung an BES12.
4.
BES12 aktualisiert die URL für die SCEP-Anforderung und sendet die SCEP-Anforderung an die Zertifizierungsstelle.
5.
Die Zertifizierungsstelle gibt das Zertifikat aus und sendet es an BES12.
6.
BES12 sendet die SCEP-Anforderung an die BlackBerry Infrastructure.
7.
Die BlackBerry Infrastructure sendet die SCEP-Anforderung an das Gerät.
8.
Das Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher hinzu.
Senden von Zertifizierungsstellenzertifikaten an Geräte
Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet oder
wenn Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer
Unternehmensumgebung verwenden.
98
Wie BES12 Ihre Daten während der Übertragung schützt
Wenn die von den Zertifizierungsstellen ausgegebenen Netzwerk- und Serverzertifikate Ihres Unternehmens auf Geräten
gespeichert werden, ist die Vertrauenswürdigkeit beim Aufbau sicherer Verbindungen zu Ihren Netzwerken und Servern
gewährleistet. Wenn die Zertifikate der Zertifizierungsstellen, von denen die S/MIME-Zertifikate Ihres Unternehmens ausgestellt
wurden, auf Geräten gespeichert werden, können die Geräte beim Empfang einer mit S/MIME geschützten E-Mail-Nachricht
das Zertifikat des Absenders als vertrauenswürdig behandeln.
Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere
Informationen finden Sie in der Dokumentation für Administratoren.
Schutz von E-Mail-Nachrichten
Alle Geräte unterstützen Exchange ActiveSync zum Synchronisieren von E-Mail-Nachrichten, Kalendereinträgen, Kontakten
und anderen Terminplanerdaten mit dem E-Mail-Server Ihres Unternehmens.Geräte mit BlackBerry 10, Windows und Secure
Work Space unterstützen auch IBM Notes Traveler. BES12 kann es ermöglichen, dass Geräte, die nicht mit dem internen
Netzwerk des Unternehmens verbunden sind oder die keine VPN-Verbindung haben, mit dem E-Mail-Server synchronisiert
werden, ohne dass Sie Verbindungen mit dem E-Mail-Server von außerhalb der Firewall verfügbar machen müssen.
BES12 ermöglicht Geräten eine sichere Synchronisierung mit dem E-Mail-Server über die BlackBerry Infrastructure mithilfe der
gleichen Verschlüsselungsmethoden, die für alle anderen Geschäftsdaten verwendet werden. Wenn BES12 die Verbindung
zwischen Ihrem E-Mail-Server und den Geräten bereitstellt, haben die BES12-IT-Richtlinien Vorrang vor allen Richtlinien, die für
die Geräte auf dem E-Mail-Server festgelegt wurden.
Wenn Ihr Unternehmen zum Anmelden von Zertifikaten bei Geräten SCEP verwendet, können Sie ein SCEP-Profil mit einem EMail-Profil verknüpfen, um eine zertifikatsbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen
zwischen den Geräten und dem E-Mail-Server beizutragen.
Steuern, welche Geräte Exchange ActiveSync verwenden
können
Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei
denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf
geschäftliche E-Mail und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um
zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt
werden.
Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein E-Mail-Profil zugewiesen ist, ein BlackBerry
10-, Secure Work Space- Android for Work- oderKNOX Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der
zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte
entfernt, wenn Sie das E-Mail-Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen
Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell
hinzufügen bzw. sie manuell aus dieser entfernen.
99
Wie BES12 Ihre Daten während der Übertragung schützt
Weitere Informationen zum Aktivieren von Microsoft Exchange-Gatekeeping und zum Hinzufügen und Entfernen von Geräten
zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren.
Erweitern der E-Mail-Sicherheit
Durch sichere E-Mail wird die Sicherheit von E-Mail-Nachrichten zusätzlich erhöht. E-Mail-Standards wie S/MIME ermöglichen
Benutzern digitales Signieren oder Verschlüsseln von E-Mail-Nachrichten, die sie von ihren Geräten senden oder empfangen:
•
Über digitale Signaturen können Empfänger die Authentizität und Integrität von Nachrichten überprüfen, die von
Benutzern gesendet wurden. Wenn ein Benutzer eine Nachricht mit seinem privaten Schlüssel digital signiert,
verwenden die Empfänger den öffentlichen Schlüssel des Absenders, um zu überprüfen, dass die Nachricht vom
Absender stammt und die Nachricht nicht geändert wurde.
•
Durch Verschlüsselung kann die Vertraulichkeit von Nachrichten gewährleistet werden. Wenn ein Benutzer eine
Nachricht verschlüsselt, verwendet das Gerät den öffentlichen Schlüssel des Empfängers, um die Nachricht zu
verschlüsseln. Der Empfänger verwendet seinen privaten Schlüssel, um die Nachricht zu entschlüsseln.
BES12- und Geräte unterstützen die folgenden sicheren E-Mail-Services: S/MIME, PGP und IBM Notes E-Mail-Verschlüsselung.
S/MIME
Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass Benutzer von BlackBerry 10-, iOS- und Secure
Work Space-Geräten E-Mail-Nachrichten mit S/MIME signieren, verschlüsseln oder signieren und verschlüsseln, sofern sie ein
geschäftliches E-Mail-Konto verwenden, das auf den Geräten S/MIME-geschützte Nachrichten unterstützt. BES12 ermöglicht
die Steuerung der S/MIME-Optionen auf Geräten. Sie können beispielsweise festlegen, ob Geräte S/MIME-geschützte E-MailNachrichten senden können. Sie können die Benutzer von BlackBerry 10-Geräten zum Einsatz von S/MIME zwingen, aber nicht
die Benutzer von iOS- oder Secure Work Space-Geräten. Wenn S/MIME optional verwendet wird, kann ein Benutzer S/MIMEEinstellungen mithilfe der Geräteeinstellungen aktivieren und konfigurieren.
BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate mit den Dateiformaten und Dateinamenserweiterungen PEM
(.pem, .cer), DER (.der, .cer) und PXF (.pfx, .p12). BlackBerry 10-Geräte unterstützen auch Nachrichten mit Signatur (clearsigned)n Nachrichten mit einer undurchsichtigen Signatur (opaque-signed) und Anlagen in S/MIME-geschützten E-MailNachrichten. iOS- und Secure Work Space-Geräte unterstützen Schlüssel und Zertifikate im PFX-Dateiformat entweder mit der
Dateinamenerweiterung .pfx oder .p12.
Benutzer müssen für jeden Empfänger, dem sie eine verschlüsselte E-Mail-Nachricht senden möchten, ein Zertifikat auf ihren
Geräten speichern. Benutzer müssen ihre privaten Schlüssel auf ihren Geräten oder einer Smart Card speichern, ansonsten
können sie keine S/MIME-verschlüsselten Nachrichten auf den Geräten lesen.
BES12 ermöglicht Ihnen das Konfigurieren von LDAP-Servereinstellungen und das Senden der Einstellungen an BlackBerry 10und Secure Work Space-Geräte, damit Benutzer S/MIME-Zertifikate nicht manuell importieren müssen. Benutzer können nach
S/MIME-Zertifikaten von Empfängern suchen und diese von LDAP-Servern über das drahtlose Netzwerk abrufen. Sie können
verlangen, dass BlackBerry 10-Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden, um
sich bei LDAP-Zertifikatservern zu authentifizieren. Geräte mit Secure Work Space verwenden für die Authentifizierung beim
LDAP-Zertifikatserver die Kennwortauthentifizierung.
100
Wie BES12 Ihre Daten während der Übertragung schützt
Im Falle von BlackBerry 10-Geräten ermöglicht BES12 auch das Konfigurieren von Einstellungen zum Ermitteln des Status von
S/MIME-Zertifikaten mittels OCSP, HTTP, HTTPS oder LDAP. Sie können OCSP-Respondereinstellungen konfigurieren und diese
an BlackBerry 10-Geräte senden; Geräte können dann den jeweiligen OCSP-Responder durchsuchen und den Status des
Zertifikats abzurufen. Sie haben die Möglichkeit, BES12 für die Suche nach dem Status von S/MIME-Zertifikaten über HTTP,
HTTPS oder LDAP zu konfigurieren; Geräte können dann Zertifikat-Statusabfragen an BES12 senden.
Wenn Ihr Unternehmen Exchange ActiveSync für den Zertifikatabruf verwendet, verwenden iOS- und Secure Work SpaceGeräte Exchange ActiveSync, um den Status von S/MIME-Zertifikaten zu prüfen. Wenn Ihr Unternehmen LDAP für den
Zertifikatabruf verwendet, verwenden iOS- und Secure Work Space-Geräte OCSP, um den Status von Zertifikaten zu prüfen.
S/MIME-Verschlüsselungsalgorithmen
Wenn Sie oder ein Benutzer die S/MIME-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, legt die Einstellung
„Verschlüsselungsalgorithmen“ fest, dass ein Gerät jeden der folgenden Verschlüsselungsalgorithmen verwenden kann, um
Nachrichten zu verschlüsseln: AES-256, AES-192, AES-128, RC2 und Triple DES. Sie können den Wert der Einstellung
„Verschlüsselungsalgorithmen“ ändern, um nur eine Teilmenge der Verschlüsselungsalgorithmen zu verwenden, wenn die
Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.
Wenn ein Benutzer eine S/MIME-geschützte Nachricht empfängt, speichert das Gerät die Verschlüsselungsalgorithmen, die die
E-Mail-Anwendung des Senders unterstützt. Wenn der Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, für
den das Gerät Verschlüsselungsalgorithmus-Informationen gespeichert hat, verwendet das Gerät einen Algorithmus, der von
dem Empfänger unterstützt wird. Wenn das Gerät die Verschlüsselungsalgorithmen der E-Mail-Anwendung des Empfängers
nicht bestimmen kann, verschlüsselt das Gerät die E-Mail-Nachricht mit Triple DES.
Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIMEVerschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung. Das Gerät führt
die folgenden Aktionen aus:
a
Prüft den Schlüsselspeicher des BlackBerry-Geräts auf das S/MIME-Zertifikat des Empfängers
b
Wenn der Schlüsselspeicher des Geräts das S/MIME-Zertifikat des Empfängers nicht enthält, verwendet das Gerät
zum Abrufen das S/MIME-Zertifikat des Empfängers vom LDAP-Server und überprüft den Zertifikatsstatus
c
Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers
d
Wenn das Gerät mit BlackBerry Infrastructure verbunden ist, verwendet BlackBerry eine
Transportschichtverschlüsselung zur Verschlüsselung der S/MIME-verschlüsselten Nachricht
e
Sendet die verschlüsselte Nachricht an BES12
2.
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung.
3.
BES12 sendet die S/MIME-verschlüsselte Nachricht an den E-Mail-Server.
4.
Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.
5.
Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mit seinem privaten S/MIME-Schlüssel.
101
Wie BES12 Ihre Daten während der Übertragung schützt
Datenfluss: Senden einer E-Mail-Nachricht von einem iOS- oder Android-Gerät mit S/MIMEVerschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem iOS- oder Android-Gerät. Das Gerät führt die folgenden Aktionen
aus:
a
Prüft den Schlüsselspeicher des Geräts auf das S/MIME-Zertifikat des Empfängers.
b
Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers.
c
Sendet die verschlüsselte Nachricht an den E-Mail-Server.
2.
Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.
3.
Der Empfänger entschlüsselt die mit S/MIME verschlüsselte Nachricht mit dem privaten S/MIME-Schlüssel des
Empfängers.
PGP
Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass BlackBerry 10-Geräte (mit BlackBerry 10 OS
Version 10.3.1 oder höher) Nachrichten mit dem PGP-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, wenn
die Benutzer E-Mail-Nachrichten über ein geschäftliches E-Mail-Konto senden, das auf den Geräten PGP-geschützte
Nachrichten unterstützt. BES12 ermöglicht die Steuerung der PGP-Optionen auf Geräten. Sie können beispielsweise festlegen,
ob Geräte PGP-geschützte E-Mail-Nachrichten senden können. Sie können veranlassen, dass Benutzer PGP verwenden
müssen. Wenn PGP optional ist, können Benutzer PGP-Einstellungen mithilfe der Geräteeinstellungen aktivieren und
konfigurieren.
BES12 unterstützt das OpenPGP-Format auf den Geräten. Weitere Informationen zum OpenPGP-Format finden Sie unter RFC
4880. BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate mit den Dateiformaten und Dateinamenserweiterungen
PEM (.pem, .cer) und ASC (.asc, .cer). BlackBerry 10-Geräte unterstützen zudem Anlagen in PGP-geschützten E-MailNachrichten.
Benutzer müssen ihre privaten PGP-Schlüssel auf ihren Geräten speichern, sonst können Geräte PGP-geschützte E-MailNachrichten nicht lesen.
PGP-Verschlüsselungsalgorithmen
Wenn Sie oder ein Benutzer die PGP-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, können die Geräte jeden der
folgenden Algorithmen verwenden, um E-Mail-Nachrichten zu verschlüsseln: AES-256, AES-192, AES-128, Triple DES-168 und
CAST-128.
Der öffentliche PGP-Schlüssel des Empfängers zeigt an, welche Verschlüsselungsalgorithmen von der E-Mail-Anwendung des
Empfängers unterstützt werden. Das Gerät ist dazu konzipiert, den stärksten verfügbaren Verschlüsselungsalgorithmus zu
verwenden. Wenn der öffentliche PGP-Schlüssel des Empfängers keine Liste von Verschlüsselungsalgorithmen enthält,
verschlüsselt das Gerät die E-Mail-Nachricht standardmäßig mithilfe eines der Algorithmen in der folgenden Prioritätenfolge:
AES-256, AES-192, AES-128, Triple DES-168 und CAST-128.
102
Wie BES12 Ihre Daten während der Übertragung schützt
Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGPVerschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung aus. Das
Gerät führt die folgenden Aktionen aus:
a
Das Gerät überprüft den Schlüsselspeicher des Geräts für den öffentlichen PGP-Schlüssel des Empfängers.
b
Wenn der Schlüsselspeicher des Geräts den öffentlichen PGP-Schlüssel des Empfängers nicht enthält, ruft das Gerät
den öffentlichen PGP-Schlüssel des Empfängers vom Symantec Encryption Management Server ab.
c
Das Gerät verschlüsselt die E-Mail-Nachricht mithilfe des öffentlichen PGP-Schlüssels des Empfängers.
d
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, verwendet das Gerät BlackBerryTransportschichtverschlüsselung zur Verschlüsselung der PGP-verschlüsselten Nachricht.
e
Das Gerät sendet die verschlüsselte Nachricht an BES12.
2.
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung.
3.
BES12 sendet die PGP-verschlüsselte Nachricht an den E-Mail-Server.
4.
Der E-Mail-Server sendet die PGP-verschlüsselte Nachricht an den Empfänger.
5.
Das Gerät des Empfängers entschlüsselt die PGP-verschlüsselte Nachricht mithilfe des privaten PGP-Schlüssels des
Empfängers.
Abrufen von PGP-Schlüsseln von einem Symantec Encryption Management Server
Wenn Ihre Unternehmensumgebung einen Symantec Encryption Management Server umfasst, können Sie mithilfe der
Einstellung "Symantec Encryption Management Server-Adresse" im E-Mail-Profil voraussetzen, dass Benutzer von BlackBerry
10-Geräten ihre Geräte mit diesem Server anmelden. Sie können außerdem festlegen, ob Benutzer ihre geschäftliche E-MailAdresse oder ihre Microsoft Active Directory-Anmeldeinformationen verwenden müssen, um Geräte mit diesem Server
anzumelden. Die Benutzer müssen ihre Anmeldedaten übermitteln, und anschließend müssen sich die Geräte mit dem
angegebenen Server anmelden, authentifizieren und in Verbindung setzen, bevor Benutzer PGP-Schutz auf ihren Geräten
nutzen können.
Nachdem Benutzer ihre Geräte mit dem Server angemeldet haben, können Geräte sowohl auf PGP-Schlüssel und den PGPSchlüsselstatus zugreifen als auch die E-Mail-Richtlinie des Symantec Encryption Management Server für alle vom Benutzer
gesendeten E-Mail-Nachrichten abrufen und durchsetzen.
Weitere Informationen über Symantec Encryption Management Server-Profileinstellungen finden Sie in der Dokumentation für
Administratoren.
IBM Notes-E-Mail Verschlüsselung für Geräte
Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können BlackBerry 10-Geräte, auf denen IBM
Notes Traveler installiert ist, mithilfe der IBM Notes-E-Mail-Verschlüsselung E-Mail-Nachrichten senden und empfangen.
103
Wie BES12 Ihre Daten während der Übertragung schützt
Wenn Benutzer Nachrichten erstellen, weiterleiten oder beantworten, können sie angeben, ob der Notes Traveler-Server die
Nachricht vor dem Senden an Empfänger verschlüsseln muss. Geräte und der Notes Traveler-Server senden einander alle
Daten über eine TLS-Verbindung.
Benutzer können die IBM Notes-E-Mail-Verschlüsselung auf dem Gerät mithilfe der Geräteeinstellungen aktivieren.
Mehr Informationen zu den unterstützten Versionen von Notes Traveler finden Sie in der Kompatibilitätsmatrix.
Klassifizieren von Meldungen für BlackBerry 10-Geräte
Die Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere E-Mail-Richtlinien
festzulegen und durchzusetzen sowie visuelle Markierungen zu E-Mail-Nachrichten hinzuzufügen. Sie können BES12
verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die
ihnen auch bei den E-Mail-Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für
ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen:
•
Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich)
•
Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C])
•
Text am Anfang oder am Ende des E-Mail-Textkörpers hinzufügen (z. B. "Diese Nachricht wurde als vertraulich
eingestuft")
•
S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln)
•
Eine Standardklassifizierung einstellen
Auf Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, können Sie mithilfe der
Nachrichtenklassifizierung festlegen, dass Benutzer E-Mail-Nachrichten signieren, verschlüsseln oder signieren und
verschlüsseln müssen oder visuelle Markierungen zu E-Mail-Nachrichten, die sie von ihren Geräten senden, hinzufügen. Sie
können BES12 verwenden, um eine Nachrichtenklassifizierungs-Konfigurationsdatei zu bestimmen, die an das Gerät eines
Benutzers gesendet wird. Das Gerät interpretiert und implementiert dann den Inhalt der NachrichtenklassifizierungsKonfigurationsdatei. Wenn der Benutzer entweder auf eine E-Mail-Nachricht antwortet, für die die Nachrichtenklassifizierung
festgelegt ist, oder eine gesicherte E-Mail-Nachricht erstellt, bestimmt die Nachrichtenklassifizierungskonfiguration die
Klassifikationsregeln, die das Gerät für die ausgehende Nachricht durchsetzen muss.
Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der
Nachrichtenklassifizierung werden von Regeln für sichere E-Mails in jeder Klassifizierung festgelegt.
Weitere Informationen zum Konfigurieren der Nachrichtenklassifizierung finden Sie in der Dokumentation für Administratoren
und im Artikel KB36736 unter http://support.blackberry.com/kb.
104
Wie BES12 Ihre Daten während der Übertragung schützt
Bereitstellen von Geräten mit Zugriff per
einmaligem Anmelden im Netzwerk Ihres
Unternehmens
Sie können die automatische Authentifizierung von Domänen und Webdiensten Ihres Unternehmensnetzwerks im Browser und
in anderen Apps auf Geräten mit iOS 7 und höher und im geschäftlichen Bereich auf BlackBerry 10-Geräten automatisch
zulassen.
Die Authentifizierung für die einmalige Anmeldung kann die Anmeldeinformationen des Benutzers oder das Zertifikat
verwenden. Zertifikatsbasierte Authentifizierung wird für BlackBerry 10-Geräte und Geräte mit iOS 8.0 und höher unterstützt.
Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen des Benutzers
auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil angegebene Domäne aufruft. Die gespeicherten
Anmeldeinformationen des Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil angegebenen
Domänen zuzugreifen. Der Benutzer wird nicht weiter zur Eingabe der Anmeldeinformationen aufgefordert, bis das Kennwort
des Benutzers sich ändert oder das Zertifikat abläuft.
BES12 unterstützt die folgenden Authentifizierungstypen für die einmalige Anmeldung:
Authentifizierungstyp
Gilt für
Kerberos
•
BlackBerry 10
•
iOS Version 7 und höher
NTLM
•
BlackBerry 10
Zertifikatsbasierte Authentifizierung
•
BlackBerry 10
•
iOS Version 8 und höher
Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für
Administratoren.
Verwenden von Kerberos für die einmalige Anmeldung auf
Geräten
Wenn Ihr Unternehmen Kerberos für den Zugriff per einmaliger Anmeldung verwendet, können Benutzer den Zugriff per
einmaliger Anmeldung auf die Ressourcen Ihres Unternehmens mithilfe des Browsers und der Apps im geschäftlichen Bereich
auf ihren BlackBerry 10-Geräten oder Geräten mit iOS 7 oder höher nutzen.
105
Wie BES12 Ihre Daten während der Übertragung schützt
Bei der Verwendung von Kerberos mit Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden Benutzer nicht zur
Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im geschäftlichen Bereich auf
die internen Ressourcen Ihres Unternehmens zugreifen. Wenn die Benutzer über eine VPN-Verbindung mit Ihrem Unternehmen
verbunden sind, muss das VPN-Gateway die Übertragung an das KDC zulassen, sodass Benutzer ohne Angabe von
Anmeldeinformationen Zugriff haben.
Für die Verwendung von Kerberos mit Geräten geben Sie die Kerberos-Konfigurationsdatei Ihres Unternehmens in einem Profil
für die einmalige Anmeldung an.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Schützen von Verbindungen zur BES12 mithilfe
des BlackBerry Router
Der BlackBerry Router ist eine optionale Komponente, die eine Verbindung zu Ihrem Netzwerk herstellt, und für die BlackBerry
Infrastructure Daten an BES12 sendet und von dieser empfängt. Der BlackBerry Router agiert als Proxy-Server für
Verbindungen über die BlackBerry Infrastructure zwischen BES12 und allen Geräten.
Sie können eine Instanz des BlackBerry Router für alle BES5-, BES10 und BES12-Domänen in Ihrer Unternehmensumgebung
verwenden.
Wenn BES12 einen BlackBerry Router erkennt, ermittelt sie die IP-Adresse des Computers, der den BlackBerry Router hostet
und schreibt die IP-Adresse in die BES12-Datenbank.
Verwenden eines BlackBerry Router oder eines Proxy-Servers
mit BES12
Wenn Sie einen Proxy-Server mit BES12 verwenden möchten, können Sie den BlackBerry Router als Proxy-Server installieren
oder einen bereits in der Umgebung installierten TCP-Proxy-Server verwenden. Die Installation des BlackBerry Router oder des
Proxy-Servers muss außerhalb der Unternehmens-Firewall in der DMZ erfolgen.
Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Server in der DMZ wird die Sicherheit für BES12 zusätzlich
erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu BES12 her.
Alle Verbindungen über die BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry Router
oder den Proxy-Server geleitet.
106
Wie BES12 Ihre Daten während der Übertragung schützt
Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder
die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich.
Weitere Informationen zur Planung des Installationsorts für den BlackBerry Router finden Sie in der Dokumentation zu
Installation und Upgrade.
Weitere Informationen zum Konfigurieren des BlackBerry Router oder eines Proxy-Servers finden Sie in der Dokumentation zur
Konfiguration.
Installieren von BES12 in einer DMZ
Wenn die Sicherheitsrichtlinien Ihres Unternehmens eine detailliertere Kontrolle über die für BES12 zugänglichen Ressourcen
erfordern, können Sie BES12 in einer eigenen DMZ installieren.
Beispielsweise können Sie den BlackBerry Router oder einen TCP-Proxy-Server in der DMZ Ihres Unternehmens installieren
und BES12 in einer separaten DMZ.
107
Wie BES12 Ihre Daten während der Übertragung schützt
Weitere Informationen zum Konfigurieren von BES12 bei Installation in einer DMZ finden Sie in der Dokumentation zur
Konfiguration.
108
BlackBerry OS-Gerätesicherheit
BlackBerry OS-Gerätesicherheit
5
Wenn die BES12-Domäne Ihres Unternehmens BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, informieren Sie sich in
der folgenden Tabelle über weiterführende Informationen zur Sicherheit von BlackBerry OS-Geräten.
Besuchen Sie http://help.blackberry.com/en/bes5-for-exchange/ und lesen Sie BlackBerry Enterprise Server 5 Technischer
Überblick – Sicherheit.
Weitere Informationen
Ressource
Aktivieren und Verwalten der
Geräte
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Aktivieren eines Geräts
•
Verwalten der Sicherheit der BlackBerry Enterprise Solution
BES12-Dokumentation für Administratoren
•
Daten während der Übertragung
Daten im Ruhezustand
IT-Administrationsbefehle
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Verschlüsseln der zwischen dem BlackBerry Enterprise Server und einem Gerät
gesendeten Daten
•
Schützen der Kommunikation mit einem Gerät
•
Schützen der Kommunikation in Ihrer Unternehmensumgebung
•
Wi-Fi-fähige Geräte
•
IEEE 802.1X-Standard
•
Verwenden eines VPN mit einem Gerät
•
Verwalten von Zertifikaten auf einem Gerät
•
Schützen von BlackBerry Device Software-Updates
•
Erweitern der Nachrichtensicherheit für ein Gerät
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Schlüssel auf einem Gerät
•
Gerätespeicher
•
Schützen von Geräten in Ihrer Unternehmensumgebung für den privaten und
geschäftlichen Gebrauch
•
Schützen von Daten auf einem Gerät
109
BlackBerry OS-Gerätesicherheit
Weitere Informationen
Apps
Ressource
•
Schützen der vom BlackBerry Enterprise Server in Ihrer
Unternehmensumgebung gespeicherten Daten
•
Konfigurieren der Zwei-Faktor-Authentifizierung und Schützen von BluetoothVerbindungen
•
Wi-Fi-fähige Geräte
•
IEEE 802.1X-Standard
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Kryptografie
Steuern von Anwendungen auf einem Gerät
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
RIM-Kryptografie-API
110
Glossar
Glossar
6
A2DP
Advanced Audio Distribution Profile (erweitertes Audioverteilungsprofil)
AES
Advanced Encryption Standard (erweiterter Verschlüsselungsstandard)
API
Application Programming Interface (Anwendungsprogrammierschnittstelle)
ARC4
Alleged Rivest's Cipher 4 (Verschlüsselungsverfahren)
AVRCP
Audio/Video Remote Control Profile (Bluetooth-Profil zur Fernsteuerung von Audio- oder
Videogeräten)
BES5
BlackBerry Enterprise Server 5
BES10
BlackBerry Enterprise Service 10
BES12
BlackBerry Enterprise Service 12
BES12-Instanz
BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind,
mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale
Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet.
CA
Zertifizierungsstelle
CAST
Carlisle Adams Stafford Tavares (Verschlüsselungsverfahren)
CBC
Cipher Block Chaining (Geheimtextblockverkettung)
CCM
Client Certificate Management
CRL
Certificate Revocation List (Zertifikatwiderrufliste)
CSR
Certificate Signing Request (Anforderung für die Zertifikatssignatur)
DER
Distinguished Encoding Rules
DES
Data Encryption Standard (Datenverschlüsselungsstandard)
DISA
Defense Information Systems Agency
DMZ
Eine demilitarisierte Zone (DMZ) ist ein neutrales Subnetzwerk außerhalb der Firewall eines
Unternehmens. Sie besteht zwischen dem vertrauenswürdigen Unternehmens-LAN und dem nicht
vertrauenswürdigen externen drahtlosen Netzwerk und dem öffentlichen Internet.
DoS
Denial of Service (Dienstverweigerung)
DRBG
Deterministischer Zufallsbitgenerator
DSA
Digital Signature Algorithm (Digitaler Signaturalgorithmus)
DTLS
Datagram Transport Layer Security
ECC
Elliptic Curve Cryptography (Kryptographieverfahren basierend auf elliptischer Kurve)
111
Glossar
ECDH
Elliptic Curve Diffie-Hellman (elliptische Kurve nach Diffie-Hellman)
ECDSA
Elliptic Curve Digital Signature Algorithm (digitaler Signaturalgorithmus basierend auf elliptischer
Kurve)
ECMQV
Elliptic Curve Menezes-Qu-Vanstone (Kryptographieverfahren basierend auf elliptischer Kurve)
EC-SPEKE
Elliptic Curve – Simple Password Exponential Key Exchange (einfacher KennwortexponentialSchlüsselaustausch)
FIPS
Federal Information Processing Standards (US-Standard für die Informationsverarbeitung)
GCM
Galois/Counter Mode
GPS
Global Positioning System (Satellitengestütztes Navigations- und Positionsbestimmungssystem)
HDMI
High-Definition Multimedia Interface
HFP
Hands-Free Profile (Freisprechprofil)
HMAC
Keyed-Hash Message Authentication Code (verschlüsselter HashNachrichtenauthentifizierungscode)
HTTP
Hypertext Transfer Protocol (Hypertextübertragungsprotokoll)
HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL)
IEEE
Institute of Electrical and Electronics Engineers
IETF
Internet Engineering Task Force
IP
Internet Protocol (Internetprotokoll)
IPSec
Internet Protocol Security (Internetprotokollsicherheit)
IT-Richtlinie
Eine IT-Richtlinie besteht aus verschiedenen Regeln, die die Sicherheitsmerkmale und das Verhalten
von Geräten steuern.
KDC
Ein Schlüsselverteilungscenter (KDC) ist ein Server, der die vertrauenswürdige Vermittlerrolle für das
Kerberos™-Protokoll ausführt. Der KDC veröffentlicht Diensttickets und verwaltet eine Liste von
Tickets, die es veröffentlicht hat. Domänencontroller sind KDCs.
LAN
Local Area Network (lokales Netzwerk)
LDAP
Lightweight Directory Access Protocol (Anwendungsprotokoll)
MAP
Message Access Profile (Nachrichtenzugriffsprofil)
MDM
Mobile Geräteverwaltung (Mobile Device Management)
MIME
Multipurpose Internet Mail Extensions (Protokoll für den Austausch von E-Mails über das Internet)
MMS
Multimedia Messaging Service (Multimedia-Dienst für mobile Geräte)
MOS
Mobiles Betriebssystem
NDES
Network Device Enrollment Service (Registrierungsdienst für Netzwerkgeräte)
NFC
Near Field Communication (Nahfeldkommunikation)
112
Glossar
NIAP
National Information Assurance Partnership
NIST
National Institute of Standards and Technology (US-Standardisierungsinstitut)
NTLM
NT LAN Manager (Authentifizierungsverfahren für Rechnernetze)
NVRAM
Nonvolatile Random Access Memory
OBEX
Object Exchange (Objektaustausch)
OCSP
Online Certificate Status Protocol (Internetprotokoll zur Statusabfrage)
OPP
Object Push Profile
PAN
Personal Area Networking
PBAP
Phone Book Access Profile (Telefonbuch-Zugriffsprofil)
PEM
Privacy Enhanced Mail
PFX
Personal Information Exchange (Austausch persönlicher Informationen)
PIN
Personal Identification Number (Persönliche Identifikationsnummer)
PKCS
Public Key Cryptography Standards (kryptographische Verschlüsselungsstandards)
PKI
Public Key Infrastructure (Infrastruktur öffentlicher Schlüssel)
PRNG
pseudo-zufälliger Zahlengenerator
RC
Rivest's Cipher (Verschlüsselungsverfahren)
RFC
Request For Comments (Kommentaranforderungen)
S/MIME
Secure Multipurpose Internet Mail Extensions (Protokoll für den Austausch sicherer E-Mails über das
Internet)
SCEP
Simple Certificate Enrollment-Protokoll
SHA
Secure Hash Algorithm (Sicherer Hash-Algorithmus)
SMS
Short Message Service (Kurznachrichtendienst)
SOCKS
Socket Secure
Bereich
Ein Bereich ist eine bestimmte Gerätezone, in der verschiedene Arten von Daten, Anwendungen und
Netzwerkverbindungen getrennt und verwaltet werden können. Unterschiedliche Bereiche verfügen
über unterschiedliche Regeln zur Datenspeicherung, für Anwendungsberechtigungen und
Netzwerkroutings. Bereiche wurden bisher auch als Perimeter bezeichnet.
SPP
Serial Port Profile
SRP
Server Routing Protocol
SSL
Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten)
SSP
Secure Simple Pairing
TCP
Transmission Control Protocol (Übertragungssteuerungsprotokoll)
113
Glossar
TCP/IP
Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll)
bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über
Netzwerke wie das Internet verwendet wird.
TGT
Das Ticket Granting Ticket (TGT) ist ein Dienstticket, das ein Client eines Kerberos-fähigen Diensts
an den TGS sendet, um das Dienstticket für den Kerberos-fähigen Dienst anzufordern.
TLS
Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung)
Triple DES
Triple Data Encryption Standard (Verschlüsselungsstandard 3DES)
UDP
User Datagram Protocol (User Datagram-Protokoll)
UID
Unique Identifier (eindeutiger Bezeichner)
URI
Uniform Resource Identifier
VPN
Virtual Private Network (Virtuelles privates Netzwerk)
XTS
Auf XEX basierender Tweaked CodeBook Mode (TCB) mit CipherText Stealing (CTS)
114
Rechtliche Hinweise
Rechtliche Hinweise
7
©2016 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BES, EMBLEM Design, GOOD,
GOOD WORK, LOCK Design, MANYME, MOVIRTU, SECUSMART, SECUSMART & Design, SECUSUITE, SECUVOICE, VIRTUAL
SIM PLATFORM, WATCHDOX und WORKLIFE sind Marken oder eingetragene Marken von BlackBerry Limited, seinen
Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Das exklusive Recht an
diesen Marken wird ausdrücklich vorbehalten. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Adobe und Reader sind Marken oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder anderen
Ländern. Android, Google, Dalvik und Google Play sind Marken von Google Inc. Apple, App Store, Mac und OS X sind Marken
von Apple Inc. Bluetooth ist eine Marke von Bluetooth SIG. Documents To Go ist eine Marke von Dataviz, Inc. DISA ist eine
Marke von Defense Information Systems Agency. Entrust ist eine Marke von Entrust, Inc. Evernote ist eine Marke von Evernote
Corporation. Facebook ist eine Marke von Facebook, Inc. HDMI ist eine Marke der HDMI Licensing, LLC. IBM, Domino und
Notizen sind eingetragene Marken der International Business Machines Corporation in vielen Ländern weltweit. IEEE, 802.11
und 802.1X sind Marken des Institute of Electrical and Electronics Engineers, Inc. iOS ist eine Marke von Cisco Systems, Inc.
und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc.
verwendet. Kerberos ist eine Marke des Massachusetts Institute of Technology. LinkedIn ist eine Marke der LinkedIn
Corporation. Microsoft, Active Directory, ActiveSync und Windows Phone sind Marken oder eingetragene Marken der Microsoft
Corporation in den USA und/oder anderen Ländern. Miracast ist eine Marke der Wi-Fi Alliance. NIAP ist eine Marke des National
Institute of Standards and Technology. OpenSSL ist eine Marke der The OpenSSL Software Foundation, Inc. OpenTrust ist eine
Marke von Open Trust. PGP ist eine Marke der PGP Corporation. RSA ist eine Marke von RSA Security. Samsung, Samsung
KNOX und KNOX sind Marken von Samsung Electronics Co., Ltd. Symantec ist eine Marke oder eingetragene Marke der
Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern. Twitter ist eine Marke von Twitter,
Inc. Wi-Fi ist eine Marke der Wi-Fi Alliance. Windows Phone ist eine Marke oder eine eingetragene Marke der Microsoft
Corporation in den USA und/oder anderen Ländern. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die
BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die
entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited
und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für
eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten
Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das
Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält
sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht
verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in
Kenntnis zu setzen.
Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder
Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von
Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine
Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze,
Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und -
115
Rechtliche Hinweise
dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine
besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry.
SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN
HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN,
ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN,
BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG
FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT,
NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS
ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER
GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE,
HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD.
MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER
AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT
ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN
ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN,
SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES
ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET
BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE,
HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN,
EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN
SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE
SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ
BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER
EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER
GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU
ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT
BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN,
NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE
VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN,
UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT
BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER,
DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER
DELIKTSHAFTUNG.
DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN:
(A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH,
ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG
ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN
GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND
116
Rechtliche Hinweise
GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN,
VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRYDISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE,
ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER.
ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE,
ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY
ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER
DOKUMENTATION.
Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr
Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter
bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet
Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen
und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von
BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht
verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und
festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder
verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste,
die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne
ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von
BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von
Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender
Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry
behandelt wird.
Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder
anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN
SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON
BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT.
BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese
Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.
BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
Canada N2K 0A7
BlackBerry UK Limited
200 Bath Road
Slough, Berkshire SL1 3XE
United Kingdom
Veröffentlicht in Kanada
117
Herunterladen